日本語件名、本文のEmotetのばらまきが4/12,4/15に引き続き発生しました。
マルウェアダウンロードの動作等は4/12と同様のため、その部分は簡略化して記載します。

■件名
請求書
からの延滞請求書
サービス請求書
期限切れ請求書
請求書ステータスの更新
※件名の前に人物名や地名と思われるものが含まれるものも確認しています。

■添付ファイル
数字8-10桁記号数字6-8桁.doc
※記号は_, ,-
（例）
696164927_4408052.doc
※件名、本文は日本語ですが、添付ファイルの本文は英語です。

■添付ファイルサンプル（例）
94c595759b6415cf2b425f32194236b8d02e5d1f4a2399870b63f016480df6e7
https://app.any.run/tasks/0c428c0c-3e9e-4499-b6f1-f5bbe2c520b7
57e601ceb23ca1be8b2a1dd44fb719c6a43885e3035c14265b8770dc009820db
https://app.any.run/tasks/a593e7c3-9b9e-4ce6-933e-0114d789c0b5
61c966fe80e7c16131ffb8c9fc58abad0e89705d575ec1016c4db578c3434a05
10103295f238be0472b32937b389e4bfdfb8e4b86359d1723672d58b8248de12
※添付ファイルの種類は多数あると考えられ、網羅出来ていませんので、一部のみの記載になります。

■通信先
以下に対してダウンロードが出来るまで順にアクセスします。
hxxp://benitezcatering[.]com/wp-includes/oOOiL5/
hxxp://dingesgang[.]com/wp-admin/rdZ/
hxxp://easyneti[.]com/wp-content/4zI/
hxxp://www.myhair4her[.]com/g9twdbi/AxU/
hxxp://www.oscarolivas[.]com/wp-includes/w47

■本体マルウェア
ダウンローダのEmotetです。
なお、Emotetは設置サイト上で定期的に変更されており、hashは多数存在します。
配信後しばらくは5-10分毎に変更されていると考えられますが、その後は1時間毎の変更と考えられます。
以下は全てhxxp://dingesgang[.]com/wp-admin/rdZ/からダウンロードされたhashです。

2019/04/16 16:58 ddc1b2c1d484e30556ca560114a123d1e550f7a6e035cbcec5c8a06fcae65935
https://www.virustotal.com/#/file/ddc1b2c1d484e30556ca560114a123d1e550f7a6e035cbcec5c8a06fcae65935/details
2019/04/16 17:13 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:16 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:18 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:36 ea23b5ed0da6ebb6dc90eb1fa2e5951edbf48555b5a7622ded42c5ee630c56a3
2019/04/16 17:40 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 17:42 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 17:44 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 18:21 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 18:42 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 18:45 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 19:30 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 19:54 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 20:54 506d0e224b4ee201f06b90a465aa5dee50bed2db3d6f6724e7d9515abeda4fae
2019/04/16 21:26 5dbb626a0c4ddb0fe2b8cdf0ac5f420a267b701a4a01306a80b99a2d87c067e3
2019/04/16 22:22 3cc6567dac689b169d5e856c668a29c758a4d384cf3392cbc36ccfae375de9c8 

■C2
EmotetのC2は多数存在しますが、優先的に接続を試みるものから幾つか記載します。
hxxp://181.37.126.2/
hxxp://181.30.126.66/
hxxp://179.62.249.189/
hxxp://66.228.45.129:8080/
hxxp://65.49.60.163:443/
hxxp://45.33.35.103:8080/

■海外の情報
同日の海外のEmotetの配信情報が以下にまとめられています。
https://pastebin.com/1xDJxxq3
この中には日本向けにばらまかれたものと同じ情報が含まれています。
海外と日本と区別なく同じ添付ファイル、ペイロードを使って感染を狙っているものと考えられます。

■考察
これによると、Emotetを配信するボットネットは2種類あるようです。
このボットネットはRSAキーの違いにより分類されておりインフラに共通性はないようですが、ボットネット全体の振る舞いは同じ動きを取り、どちらも同じアクターが支配するボットネットと考えられています。
このボットネットは海外ではEpoch 1、Epoch 2として分類されており、規模は1の方が大きいようです。
日本向けに配信しているのは、RSAキーの分類に従うと、Epoch 1になります。

Emotetは追加で他のマルウェアをダウンロードすることが知られています。
海外ではEmotetがTrickbotという不正送金マルウェアをダウンロードすることが多いようです。
更に、そのTrickbotを利用する攻撃者の中には、そこからRyukランサムウェアという標的型ランサムウェア攻撃を行う事例が知られています。
ただのばらまきによるマルウェア感染に留まらない被害が発生する可能性がありますので、注意が必要です。

＜参考：Ryukランサムウェア＞
2018年夏頃より、Ryukランサムウェアというのが姿を見せているようです。
その手口は、Trickbotというバンキングマルウェアに感染した端末が属している会社を見て、お金になりそうなところに絞って、標的型の手口で内部感染拡大させ、ランサムウェアによる暗号化を行うようです。
主にロシアを拠点とするTrickBotバンキングマルウェアを使う攻撃グループはEmpireと呼ばれるPowerShellの侵入後の内部感染拡大用のツールを使用し、ネットワーク内の他のコンピュータの資格情報を盗み出し、それらにRyuk Ransomwareをインストールするようです。
https://securityaffairs.co/wordpress/79853/cyber-crime/trickbot-ryuk-ransomware.html
https://duo.com/decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware
https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-credential-theft-malware-to-business-disruption.html
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/