Emotet
Emotet とは何ですか?
Emotetモジュール型バンキングトロイから発展したマルウェア・アズ・ア・サービス型ローダーで、ランサムウェアアフィリエイトに配信を行い、2021 年 1 月に国際法執行で摘発された。
Emotet は 2014 年に欧州顧客を狙うバンキングトロイとして登場し、犯罪エコシステム内で最も多産なローダーの一つへと進化しました。運用クラスター TA542 / Mealybug は、スレッドハイジャックされた返信メールに添付される悪意ある Word / Excel ファイルを主な手口とし、TrickBot、QakBot、IcedID や Ryuk、Conti、BlackCat などのランサムウェアを第 2 段階として展開しました。2021 年 1 月、Europol は Operation Ladybird を主導し、複数国で Emotet の C2 基盤を押収しました。ボットネットは 2021 年末と 2022 年に再構築され、OneNote や LNK を用いた新手法が登場した後、2023 年に活動が低下しました。
● 例
- 01
経理担当がハイジャックされたメールスレッドの Excel 添付を開き、Emotet が QakBot を投下、その 2 日後に Conti ランサムウェアが展開される。
- 02
ISP は Have I Been Emotet を使い、Emotet 感染端末から送信されたアドレスを持つ顧客に通知する。
● よくある質問
Emotet とは何ですか?
モジュール型バンキングトロイから発展したマルウェア・アズ・ア・サービス型ローダーで、ランサムウェアアフィリエイトに配信を行い、2021 年 1 月に国際法執行で摘発された。 サイバーセキュリティの マルウェア カテゴリに属します。
Emotet とはどういう意味ですか?
モジュール型バンキングトロイから発展したマルウェア・アズ・ア・サービス型ローダーで、ランサムウェアアフィリエイトに配信を行い、2021 年 1 月に国際法執行で摘発された。
Emotet はどのように機能しますか?
Emotet は 2014 年に欧州顧客を狙うバンキングトロイとして登場し、犯罪エコシステム内で最も多産なローダーの一つへと進化しました。運用クラスター TA542 / Mealybug は、スレッドハイジャックされた返信メールに添付される悪意ある Word / Excel ファイルを主な手口とし、TrickBot、QakBot、IcedID や Ryuk、Conti、BlackCat などのランサムウェアを第 2 段階として展開しました。2021 年 1 月、Europol は Operation Ladybird を主導し、複数国で Emotet の C2 基盤を押収しました。ボットネットは 2021 年末と 2022 年に再構築され、OneNote や LNK を用いた新手法が登場した後、2023 年に活動が低下しました。
Emotet からどのように防御しますか?
Emotet に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Emotet の別名は何ですか?
一般的な別名: TA542, Mealybug, Geodo, Heodo。
● 関連用語
- malware№ 084
バンキングトロイの木馬
オンラインバンキングの認証情報を盗み、不正送金を承認させるよう設計されたマルウェア。Web インジェクト、フォームグラブ、オーバーレイなどを用いる。
- malware№ 621
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
- malware№ 119
ボットネット
マルウェアに感染したインターネット接続機器を攻撃者が遠隔操作し、協調動作を行わせるネットワーク。
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
● 関連項目
- № 1171TrickBot
- № 954Ryuk ランサムウェア