bomb_log

セキュリティに関するbom

2019/11/26(火) 添付ファイル付不審メール(Emotet -> Trickbot)の調査

日本語EmotetからのTrickbotのばらまきが再び始まりました。
なお、11/27にはEmotetに関してJPCERT/CCから注意喚起を発行しています。
脅威から未然防止策、事後対応策まで記載されていますので、そちらも合わせて参照ください。

マルウエア Emotet の感染に関する注意喚起https://www.jpcert.or.jp/at/2019/at190044.html

■日時
2019/11/26(火) - 2019/11/29(金)

 

■追加ペイロード
Trickbot

幾つか、この週は変化が見られました。

 

■Emotetボットネット全体の話
・11/25より、メールの添付ファイルのdocファイルの見た目が変化しました。
以前:青背景にOffice365
最新:灰色背景にOpenOffice
https://twitter.com/bomccss/status/1198910279985164289

・11/26より、EmotetのC2へアクセスパスが変化しました。
以前:登録された単語からランダムに抽出して作られるパス  ex) /health/psec/pdf/
最新:大小英数の乱数 ex) /GHklqn8xSA0

 

■日本向けばらまきの変化

件名が何種類か追加されました。

・確認できた日本語件名(追加)
[本日23:59まで]amazon.comに更新割引クーポンが発行されました
amazonに更新割引クーポンが発行されました
amazon.comに更新割引クーポンが発行されました
amazon.co.jpに更新割引クーポンが発行されました
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
お支払い
必要条件
支払い書類
支払通知
請求書
領収書
重要
気づく

 

■本文
11/26より、これまで3つのブロックで構成されていた本文が、4ブロックのものが現れました。
主に請求書関連の件名のものです。
日本語の練度も上がっているように感じています。
※日本語の本文はばらまき型、返信型ともに同じパターンで作成されています。

 

■添付ファイル名の変化
11/27より、一部の請求書関連の件名の場合、添付ファイル名に件名が付くようになりました。
返信型の添付ファイルでも添付ファイル名に請求書関係の件名がファイル名につくケースもあります。つかないケースもあります。
件名流用型の場合に請求書関係のファイル名になる、かも。

(例)
件名  : 請求書送付のお願い 14145358_20191128
ファイル名: 請求書送付のお願い 14145358 20191128.doc

件名  : Re: ~~~
ファイル名: 請求書の件です。 OW5944 .doc