2021/01/27、マルウェアEmotetのボットネットに対するテイクダウン作戦「Operation LadyBird」が成功しました！Emotetがどのようなものでどれだけ日本に被害を及ぼしていたかは周知の事実だと思いますが、詳しく知りたい方はJSAC2021発表資料を参照ください …

EmotetにはEpochと呼ばれる3つのグループが存在します。Epoch1, Epoch2, Epoch3と命名されていますが、通常E1, E2, E3のように略されます。 本記事では、このEpochについて解説します。 ■エポック1、エポック2、エポック3とは何ですか？ Epochについての詳し…

2020/10/31でメール送信が見られなかったEmotetですが、2020/12/21からメール送信が再開されました。更に、実行プロセスにおいて幾つか変更点が見られますので、その点について記載していきます。 ■Emotetのメール配信日以下は2019年9月から2020年12月までの…

2020年9月-11月にかけて、日本向けに返信を装ったなりすましメールにパスワード付きzipを添付する攻撃が複数観測されています。 しかし、これらの攻撃は実は２種類に分類できます。Emotetに感染する攻撃とIcedIDに感染する攻撃です。 それぞれ攻撃は手法や使…

2020/10/14と同種と考えられる、日本語ばらまきメールを観測しました。 件名や通信先が異なる2種類のメールが来ていますが、感染するマルウェアは同一hashで同じモノ、マルウェアZLoaderです。 2020/10/14はこちら。 ●ケース1 ■件名 支払いの詳細 - 注文番号…

久しぶりにEmotet以外の日本語の添付ファイル付きの不審メールのばらまきが発生しました。内容について分析します。 ■件名【お振込口座変更のご連絡】 ■本文 経理ご担当者様いつも大変お世話になっております。株式会社ジャパントラストの佐々木です。 今月…

■マルウェアEmotetに関する記事 ・マルウェアEmotetについて ・Emotet感染時の対応・マルウェアEmotetの活動再開（2020/07/17-） ・マルウェアEmotetの活動再開（2020/12/21-）と変更点 ■カンファレンス発表資料 Japan Security Analyst Conference (JSAC) 2…

日本国内で大流行のEmotetについて、感染時のフローをまとめました。 ※取得してから記事にするのに時間が空いてしまったため、画像で感染の流れのポイントがわかれば、という程度です。 以前にEmotetのプロセスの動きを記載していたのは約一年前の以下の記事…

2019年より日本に向けても活動を行っているマルウェアEmotet (エモテット) (2020/02/07以降活動休止) が2020/07/17より約5ヶ月ぶりに活動を再開しました。 ※（2020/12/22追記）2020/10/31の休止後、2020/12/21に開催されたマルウェアEmotetの活動では挙動似…

マルウェア Emotet （エモテット）に感染したら？ 感染が疑われる際の対応や感染有無の確認、駆除の方法、について 対応方法を記載しています。

マルウェアEmotet (エモテット) に関するまとめです。主に感染時の被害と感染有無の確認について記載します。 日本で感染被害が拡大しています。Emotetに感染した場合、加害者にもなってしまいますので、感染している場合は漏れなく対処ください。2020/07/17…

2020年は1/13からEmotetのメール配信が世界的に再開されました。Emotetの休みは2019/12/20-2020/01/12までの約3週間でした 変わらず、EmotetからTrickbotへも感染します。なお、EmotetからTrickbotへ感染するのは、日本だけでなく、世界的にも同様の観測がな…

日本向けEmotetの送信は止まる気配がなく、継続してばらまかれ続けています。平日は毎日、土日は止まることが多いですが、稀に土曜日にも配信されることがあります。なお、2019年は12/20を最後に、Emotetのメール配信は休止しています。 ■日時2019/12/16(月)…

2日続けてTA505のばらまきと思われる添付ファイル付きの不審メールのばらまきを確認しています。 ■日時2019/12/04(火) 9:00- ■件名訂正 12/04業務報告 ■添付ファイル営業報告入力フォー2019.xls ■サンプルhttps://app.any.run/tasks/64904e28-914d-4a76-b83b…

TA505 によるばらまきと思われる添付ファイル付きの不審メール のばらまきがありました。 ■日時2019/12/03 07:30頃 - ■件名令和元年度職員録 ■送信者（偽装）山口 陽弘※実際の送信元アドレスは様々ものが使われており、なりすましと考えられます。 ■添付ファ…

日本をターゲットとして注力して狙っているのか、メールテンプレートの変化が激しかったです。また、世界的にみてもEmotetの活動が活発で、様々な変化がありました。 ■日時2019/12/09 16:00頃 - 2019/12/13 ■sample Emotethttps://app.any.run/tasks/dde3e91…

引き続き、ほぼ平日は毎日のようにEmotetのばらまきが発生しています。 JPCERT/CCからEmotet感染が疑われる時のFAQが公開されています。 マルウエアEmotetへの対応FAQhttps://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html ■日時12/2 16時-12/3 9時-12/4 16…

日本語EmotetからのTrickbotのばらまきが再び始まりました。なお、11/27にはEmotetに関してJPCERT/CCから注意喚起を発行しています。脅威から未然防止策、事後対応策まで記載されていますので、そちらも合わせて参照ください。 マルウエア Emotet の感染に関…

11/22(金)に、再び日本語件名のemotetの不審メールのばらまきが行われました。前回のEmotetのばらまき(10/24)から約一月ぶりです。その間、日本語件名のばらまき型Emotetはありませんでしたが、ずっと返信型Emotetを観測しています。返信型Emotetだけが飛ん…

昨年もありました、気象庁をかたった不審メールが出ていたようです。偶然か意図してか、昨年と同日に発生したようです。 なお、昨年のものについては、以下の記事が参考になります。https://piyolog.hatenadiary.jp/entry/20181112/1541970943https://www.pa…

前の週に続き、日本語のEmotetのばらまきメールがばらまかれました。今回も前回同様、次のマルウェアとして、Trickbotに感染します。 ■日時2019/10/22 - 2019/10/24 ■件名（日本語のみ抜粋、英語のものもある）コメントデータドキュメントメッセージメッセー…

主に海外向けのursnif だと思われますが日本でも感染している事例を見つけました。主に感染しているのは、US,JP,AU,GB,ITですが、それ以外にも様々な地域が感染しているのを確認しています。感染は9/30頃から始まっていた可能性が高いです。 誘導の手段の全…

10/14週も日本語のEmotetのばらまきがありました。今回は追加で感染させられるマルウェアがTrickbotでした。 ■日時2019/10/15（火） ～ 2019/10/18（金） ■件名日本語の件名はどうやら毎回一定で以下のようです。※件名の後ろに日付や人名等が付いている場合…

9月に続き、日本語のemotetのばらまきがありました。 一部では返信型emotetもあるようです。件名にRE: がついており、と過去メール送受信した履歴が付いたメールですが、添付ファイルにマクロ付きのWordファイルがついてきます。この添付ファイルもemotetへ…

2018/11、2019/2、2019/4に続き、4度目の日本語のEmotetのばらまきが発生しました。 ■日時2019/09/27（金） ■件名（これ以外もあり）ドキュメントドキュメント <名前>メッセージメッセージを繰り返す <名前>リマインダーリマインダー <名前>情報情報 <名前>…

前の記事のメールの返信にhtmlファイルを添付して、その中に含まれるリンクからファイルをダウンロードする攻撃を、実際にサイトが動作している状態を確認しました。この挙動は1週間以上同じ状態でした。 ■日時2019/09/24 ■誘導先URLhxxp://viewdocument.sva…

以下のURLへ誘導するメールが9/17頃に出ていたようです。※自分で稼働を確認はしていないが、AnyRunで動作しているものを確認。メールの返信に添付ファイルとしてhtml形式のファイルが添付され、その中のリンクからファイルをダウンロードするように誘導する…

Webmoneyをかたってマルウェアへ誘導するメールの第二弾です。 ■件名Webmoneyご購入の受注確認 ■送信者（詐称）ウェブマネー <mailmagazine[@]webmoney.ne[.]jp> ■誘導先URLhxxp://185.251.249[.]172/→リダイレクトhxxps://www.mowebmong-you[.]com/IP:103.100.211[.]61https://urlscan.io/res</mailmagazine[@]webmoney.ne[.]jp>…

Facebookをかたっていたものが、同日中にWebmoneyをかたったものに変化しました。 ■日時2019/09/22 12:30- ■件名Webmoneyご購入の受注確認 ■送信者(詐称)ウェブマネー <mailmagazine[@]webmoney[.]ne[.]jp> ■URLhxxps://www.kopsmg[.]com/IP: 103.100.211[.]61https://urlscan.io/result/f274a22</mailmagazine[@]webmoney[.]ne[.]jp>…

Facebookをかたった日本語のばらまきメールの3日目です。 ■件名【Facebook】変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.king-fackbook[.]com/IP: 103.100.211[.]61https://urlscan.io/result/3d479fe9-5590-4cfb-8ecd-04d5674ff487/https://app.a</registration[@]facebookmail[.]com>…