9月に続き、日本語のemotetのばらまきがありました。

一部では返信型emotetもあるようです。
件名にRE: がついており、と過去メール送受信した履歴が付いたメールですが、添付ファイルにマクロ付きのWordファイルがついてきます。この添付ファイルもemotetへ感染させるマルウェアです。

■日時
2019/10/10 - 2019/10/11

■確認できている日本語の件名
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
備考
助けて
情報
新バージョン
最後のオプション
現在のバージョン

※後ろに日付(20191010)や名前等の文字列が付く場合あり

■英語件名(サンプル、その他多数)
List
Mail
Notice
Report
Service

■通信先
※通信先パターンは複数あり、網羅できていない。検体も同様に複数あり網羅できない。
・通信先(例その１)
hxxp://bluelionconflictsolutions[.]com/wp-includes/5sk54068/
hxxp://www.winzerhof-kridlo[.]com/up/gqfm32861/
hxxp://www.coscorubber[.]com/lzhfb/3lzijk275/
hxxp://huyndai3sthanhhoa[.]com/pictures/p9104/
hxxps://wearetxvets[.]com/bat.function/p1bjn92466/

・同じ通信先へアクセスする検体(例その１)
9e0d9b1f5541367075d5ac55133b1e63
962ba8e97c527e29cdafb49bbf540068
534356e4c4bdf50ed7b2fd2b83ebd712

・通信先(例その２)
hxxps://www.mmtt.co[.]nz/genimage/ClUXVYfQ/
hxxps://wkoreaw[.]com/wordpress/FxiXOLHy/
hxxp://gennowpac[.]org/wp-content/DJRMUdiP/
hxxp://cjextm[.]ro/wp-snapshots/oDjcwvxm/
hxxp://www.antonieta[.]es/caeeq/dtWZYxVo/

・同じ通信先へアクセスする検体(例その２)
23f68ef1abecdce9ea2ce2b24f5574d6
0f5c3c10bbc1ad7b56f7555819d119e4
7473c1bc418738260df3926f928c166b

・通信先(例その３)
hxxps://salesray[.]com/freebies/HzTRnIyl/
hxxps://westernwellbeing[.]co[.]uk/wp-content.bk/hr2qxq_mydeb-0513806524/
hxxps://dollarstorepluss[.]com/handle_api/91l800s6_j2tcee7p-50/
hxxps://chrismckinney[.]com/cris-new-file/dejopn9l68_pgef8-79749073/
hxxp://squareonerenovationsinc[.]com/roawk/wtuds/UhPJaCWK/

・同じ通信先へアクセスする検体(例その３)
c996be2a18e4ee00622194a4b47564da
8a747541d7178b817d76aa144b8c761d

・通信先(例その４)
hxxp://www.arquiteturasolucao[.]com/shells/il9l7_6fbjtt-50317998/
hxxp://www.kokuadiaper[.]com/wp-content/wp-rocket-config/gPjedSRcK/
hxxps://blog.lasoy[.]net/wp-admin/vBwxpquhVq/
hxxp://prettywoman-cambodia[.]com/vqxr/cwbeiqihf_7zv7l5jjx-017/
hxxp://barij-essence[.]ru/tropcj8kfd/HoBkALzmR/

・同じ通信先へアクセスする検体(例その４)
717edf19dd65f807188eb51bc0e3dc2b
8e76d75e8283b22b13b9db74732744de

・10/11分通信先(例)
hxxp://mayurpai[.]com/wp-admin/lb8232/
hxxp://mastersjarvis[.]com/7eds52/14/
hxxp://lagriffeduweb[.]com/clients/w9pw59/
hxxp://nyc[.]rekko[.]com/65r8ry/zmt61884/
hxxp://onickdoorsonline[.]com/wp-includes/g0uyt12/

・検体(例)
https://app.any.run/tasks/0e01ec21-0af1-49e2-8b0d-45f0b776dc1e/

■添付ファイル
添付ファイル名は様々あります。確認されているファイルの外見は3種類です。

確認されているものは、マクロ付きのwordファイル（.docファイル）です。
添付ファイルを開き、マクロを有効化するとダウンローダ型マルウェアのEmotetに感染します。
※Wordの設定でマクロを常時有効化していると、確認なしにマクロが動作し、Emotetに感染します。
　マクロの常時有効化はオフにしておくことを推奨します。

■Emotet
Emotetはかつては主にバンキングマルウェアとして動作していましたが、現在では主にダウンローダとして動作するマルウェアです。
・感染すると、以下にレジストリに設定を残し、PC再起動後も自動実行させるよう設定します。
・利用しているメールアカウントの情報（メールサーバへの接続アカウント情報、アドレス帳、メール本文）を窃取します。
・メールアカウントを窃取できた場合、Emotet自身に感染させるためマルウェア付きメールを送信します。その際、メールアカウントに残っているメールに返信にマルウェアを添付して送信します。
・攻撃対象の国であれば、追加のマルウェアに感染させます。

このため、Emotetに感染すると、情報漏えいの恐れ、スパムボットとして（メールをやり取りしたことのある相手を含む）感染拡大の恐れ、追加のマルウェア感染の恐れ、があります。

■追加のマルウェア
今回ばらまかれたダウンローダemotet に日本のIPで感染すると、二次マルウェアとして ursnif(Dreambot) に感染させます。
このUrsnifは過去楽天等を騙ってばらまいていたUrsnifと同じキーを使っており、このblogではUrsnif-bと分類しているものです。

・追加ペイロード
Ursnif（Dreambot）
6ef8f825ce54eb5b06b86a89dfc661b0
https://app.any.run/tasks/f2eafbae-93fd-427a-be28-e73c8b3c9305/

■c2通信先
hxxps://cartoons-online[.]at
hxxp://h33a7jzovxp2dxfg[.]onion

■パラメータ
serpent_key: s4Sc9mDb35Ayj8oO
server: 12
botnet: 1111
tor_dll : google[.]com file://%appdata%/systemXX.dll
ip_check_url : curlmyip[.]net

このUrsnif-bが利用するWebInjectionConfigは9/27のものと同一でした。対象としている金融機関やそのコード、窃取したデータの送信先サーバも同一です。
そのため、同じアクターと考えて良いかと思われます。
9/27の時点では何故か別のキーのUrsnifを使用していましたが、それともWebInjectionConfigが同一であることを考えると、両方とも同じアクターで過去数年間日本を狙っているグループであると考えられます。
なぜ9/27のばらまきでは別のキーを使っていたかは不明です。