2019/12/9(月) 添付ファイル付不審メール(Emotet -> Trickbot)の調査
日本をターゲットとして注力して狙っているのか、メールテンプレートの変化が激しかったです。
また、世界的にみてもEmotetの活動が活発で、様々な変化がありました。
■日時
2019/12/09 16:00頃 - 2019/12/13
■sample
Emotet
https://app.any.run/tasks/dde3e916-a9f4-4b45-a87a-7d543c3528f4/
Trickbot
https://app.any.run/tasks/a7378f7b-e3b9-44aa-a5e2-02480a725cbb/
■変化
・12/06からの世界的な変化
世界的に、Emotetに感染させるメールが添付ファイル型だけでなく、本文リンクからdocファイルをダウンロードさせるリンク型メールも再開された。
docファイルの外見もこれまでのOpenOfficeの灰色・O365の青色の2パターンに加え、水色の計3パターンに変化。
・12/09 日本語のばらまきメールに以下の冬季賞与に関する件名が追加
■件名
払
届
払届
賞与
賞与支
賞与支払
賞与支払届
2019冬・業績賞与支給
月賞与
11月賞与
12月賞与
12.12月賞与関係会社請求について
19.12月賞与関係会社請求について
賞与支給に際しての社長メッセージ
■添付ファイル名
(件名のどれか).doc
※件名と同じではない
■送信者
会保険労務士法人
・12/10 日本語ばらまき件名の追加
AppleIDを騙ったものが確認される。
■件名
お使いのAppleStore-ID がロックされます. サービス
■送信者
Apple Team
・12/11 日本語ばらまき件名の請求書関連の件名が増加
■件名
お支払い
11月の支払い
毎月の請求書
毎週の請求書
請求書
請求書の件です。
請求書送付のお願い
ご入金額の通知・ご請求書発行のお願い
請求書の送信
請求書ステータスの更新
表示用のアカウントの請求書
(英語版)
monthly invoice
weekly invoice
payment
invoice
payment for november
■本文
本文も件名のパターンの中からランダムで(件名と別になるケースが多い)選ばれる。
・12/13 リンク型メールのhtml形式化
リンク型メールで送られる場合にメールがHTML形式で送信される。
リンクの表示上がメール送信者のドメインで表示されており、あたかもメール送信者の組織のHPからファイルをダウンロードさせるようにしているように見せかけている。
実際のリンクは別のサイトであり、主に正規サイトが改ざんされてdocファイル置き場になっている。
・12/13 日本語件名のメールに出会い系のようなメールが追加される
■件名(例)
男に会います。15歳の女の子。
会いたいです。16歳の女の子。
15歳の女の子。
■送信者(例)
サオリ
アカネ
リオ
2019/12/2(月) 添付ファイル付不審メール(Emotet -> Trickbot)の調査
引き続き、ほぼ平日は毎日のようにEmotetのばらまきが発生しています。
JPCERT/CCからEmotet感染が疑われる時のFAQが公開されています。
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
■日時
12/2 16時-
12/3 9時-
12/4 16時-
12/5 9時-
■件名
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
現在のバージョン
最後のオプション
助けて
情報
新バージョン
備考
[本日23:59まで]amazon.comに更新割引クーポンが発行されました
amazonに更新割引クーポンが発行されました
amazon.comに更新割引クーポンが発行されました
amazon.co.jpに更新割引クーポンが発行されました
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
お支払い
必要条件
支払い書類
支払通知
請求書
領収書
重要
気づく
2019/11/26(火) 添付ファイル付不審メール(Emotet -> Trickbot)の調査
日本語EmotetからのTrickbotのばらまきが再び始まりました。
なお、11/27にはEmotetに関してJPCERT/CCから注意喚起を発行しています。
脅威から未然防止策、事後対応策まで記載されていますので、そちらも合わせて参照ください。
マルウエア Emotet の感染に関する注意喚起https://www.jpcert.or.jp/at/2019/at190044.html
■日時
2019/11/26(火) - 2019/11/29(金)
■追加ペイロード
Trickbot
幾つか、この週は変化が見られました。
■Emotetボットネット全体の話
・11/25より、メールの添付ファイルのdocファイルの見た目が変化しました。
以前:青背景にOffice365
最新:灰色背景にOpenOffice
https://twitter.com/bomccss/status/1198910279985164289
・11/26より、EmotetのC2へアクセスパスが変化しました。
以前:登録された単語からランダムに抽出して作られるパス ex) /health/psec/pdf/
最新:大小英数の乱数 ex) /GHklqn8xSA0
■日本向けばらまきの変化
件名が何種類か追加されました。
・確認できた日本語件名(追加)
[本日23:59まで]amazon.comに更新割引クーポンが発行されました
amazonに更新割引クーポンが発行されました
amazon.comに更新割引クーポンが発行されました
amazon.co.jpに更新割引クーポンが発行されました
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
お支払い
必要条件
支払い書類
支払通知
請求書
領収書
重要
気づく
■本文
11/26より、これまで3つのブロックで構成されていた本文が、4ブロックのものが現れました。
主に請求書関連の件名のものです。
日本語の練度も上がっているように感じています。
※日本語の本文はばらまき型、返信型ともに同じパターンで作成されています。
■添付ファイル名の変化
11/27より、一部の請求書関連の件名の場合、添付ファイル名に件名が付くようになりました。
返信型の添付ファイルでも添付ファイル名に請求書関係の件名がファイル名につくケースもあります。つかないケースもあります。
件名流用型の場合に請求書関係のファイル名になる、かも。
(例)
件名 : 請求書送付のお願い 14145358_20191128
ファイル名: 請求書送付のお願い 14145358 20191128.doc
件名 : Re: ~~~
ファイル名: 請求書の件です。 OW5944 .doc
