bomb_log

セキュリティに関するbom

トップ > 返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

2020年9月-11月にかけて、日本向けに返信を装ったなりすましメールにパスワード付きzipを添付する攻撃が複数観測されています。

しかし、これらの攻撃は実は2種類に分類できます。Emotetに感染する攻撃とIcedIDに感染する攻撃です。

それぞれ攻撃は手法や使用するマルウェアが違うため、攻撃の被害にあった場合には、それぞれに対応した対処を行う必要があります。

 

特に、セキュリティ関係者が深く調査せずにIcedIDに感染する攻撃をEmotetに感染する攻撃と誤認し、誤った対応をしていることが散見されるため、注意が必要であると考えています。

そのため、本記事では2つの攻撃の違いを認識できるように紹介します。

※本記事は以下にスライド形式でも掲載しています。
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - Speaker Deck
f:id:bomccss:20201130132038j:plain

 

目次

 

日本向けEmotetとIcedIDの類似点と相違点

日本向けに攻撃が行われているEmotetに感染する攻撃とIcedIDに感染する攻撃ですが、メールを受信した人にとっては、非常に似通った特徴があります。

  • 過去やり取りした正規のメールへの返信(転送)を装っており、日本語で添付ファイルを開くよう誘導する
  • 送信者は過去やり取りした人になりすましている
    (なりすましではなく乗っ取りのケースもあり)
  • パスワード付きzipファイルが添付されており、中にはdocファイルが含まれる
  • パスワードはメール本文中に記載されている

しかし、これらの攻撃は先に述べているように、感染するマルウェアが異なります。
なぜなら、攻撃を行っているグループが異なり為であり、そのため、攻撃の手法や攻撃全体の流れ(攻撃キャンペーン)も異なります。

 

受信するメールのサンプル

以下にそれぞれのメールのサンプルを掲載します。

  • Emotetに感染するなりすましメールのサンプル

f:id:bomccss:20201127191102j:plain

  • IcedIDに感染するなりすましメールのサンプル

f:id:bomccss:20201127192024p:plain

 

先に述べているものと重複しますが、共通する特徴として以下が挙げられます。

  • 送信者をなりすましている (送信者に関係がある宛先に送信する)
  • 過去やり取りしたメールへの返信を装う
  • docが含まれたパスワード付きzipが添付される
  • docのマクロを実行するとマルウェアに感染する

これらの特徴が重複しており、受信するメールの特徴としては似ていると言えます。
そのため、受信した人にとっては、違いを意識することは困難です。
常日頃からばらまきメールの動向を払っていなければ、セキュリティの専門家であっても、2つの攻撃グループがあり似たメールで別のマルウェアに感染させようとしていることは知らない人が多いのではないでしょうか。

 

マルウェアに感染させる攻撃プロセス

次に、それぞれのマルウェアに感染させる攻撃プロセスについて見ていきます。

  • Emotetに感染させる攻撃プロセス

Emotetに感染させるメールは、Emotetに感染した端末を利用して送信されます。
Emotetに感染すると端末から過去メールや連絡先などの情報が盗まれ、C2サーバへ送信されます。その情報は以降のEmotetに感染させるメールの"素材"として履歴に使われる本文、メールのなりすました送信元、メールの送信先などに利用されます。
Emotetに感染するとC2サーバからメール送信用のモジュールが感染した端末へと送られます。これにより、Emotetに感染した端末はEmotetに感染するメールを送信する端末へと変化してしまいます。
下図で破線で囲っている枠内のメール送信から感染端末をメール送信に利用することまで、攻撃者がC2サーバに一度命令を出せば全て自動で行われていると考えられます。
この自動的な感染拡大の仕組みがEmotetの最大の特徴と言えます。

f:id:bomccss:20201130123050j:plain

 

  • IcedIDに感染させる攻撃プロセス

メール情報の収集やメールの送信は手動操作と考えられます。
不正ログイン可能なメールサーバの情報を何らかの手段により取得し、メールサーバに残っているメールの送受信先にIcedIDに感染させるメールを送っていると考えられます。
この時、不正ログインしたメールサーバからメールを送信するケース(偽装ではなく不正利用)と他の不正利用可能なメールサーバからメールを送信するケース(なりすましメール)の両方のケースを確認しています。
メール送信のために不正利用されるメールサーバの情報をどうやって収集しているかは不明です。
IcedIDによりメール関連情報を盗んでいる可能性はありますが、それを裏付ける動作は把握しておらず、他の手法と組み合わせているのではないかと考えています。

f:id:bomccss:20201127194933j:plain

 

マルウェアに感染する手法について紹介しましたが、こう比較すると、攻撃手法全体の中でメールは受信者が一番目にする部分とは言え一部分に過ぎないことがわかるかと思います。
また、攻撃全体の中ではマルウェアが担う部分は多いが、それ以外の手法も含めて、攻撃キャンペーンが成り立っている、ということが分かるかと思います。

 

2種類の攻撃キャンペーンの区別

では、どうやってこの2種類の攻撃キャンペーンの区別を付けるのでしょうか。
以下の点から区別することが可能です。

  • 攻撃の発生時期
  • メール本文
  • 添付ファイル
  • 永続化手法
  • 残ったファイル

この10月、11月に起こった2つの攻撃キャンペーンのどちらだったか、を区別する手段になります。
今後も使える手法かどうかは、攻撃キャンペーンがどのように手口を変えてくるかによって異なります。ある程度観測していると、新たな手口が出てきてもどちらか推測が可能です。

 

順に見ていきます。 

  • 攻撃の発生時期

ばらまきメールは広範囲に送信されるため、攻撃があった日を把握しやすいです。
2020/11/30時点ではIcedIDに感染する攻撃は2020/10/27-29, 11/3-5, 20でのみ発生しています。

Emotetに感染する攻撃は2020/1/13-2/6、7/17-10/30(全世界)です。

  • メール本文

「受信するメールのサンプル」の項で示したものがメールのサンプルになります。
IcedIDに感染するメールはほぼ内容が同一で「おはようございます、 添付ファイルのご確認、宜しくお願いいたします ZIPファイル解凍用パスワード: ありがとう。 」です。英語の「Good Morning, Please see attached」などの直訳です。

対して、Emotetに感染するメールは様々なメール本文がありますが、比較すると、パスワード付きzipファイルが添付されている場合には、ファイル名とパスワードが併せて記載されている点が特徴と言えます。Emotetはメールの種類によって、履歴が付く場合と付かない場合があります。

  • 添付ファイル

IcedIDに感染するメールの添付ファイル名は主に「Info.zip」「Request.zip」です。侵害された組織の名前をzipファイル名に使うケースもあります。zipファイルの中にはdocファイルがありますが、見た目は以下の1種類のみです。

f:id:bomccss:20201201114017j:plain

Emotetに感染するメールの添付ファイル名は様々です。
例えば、2020/10/22の日本語のEmotetに感染するメールの件名と添付ファイル名のパターンの一覧は以下です。

f:id:bomccss:20201201114239j:plain

以下でも公開しています。
pastebin.com

zipファイルの中に含まれるdocファイルも見た目が様々なものがありますが、以下の記事にて記載しています。

  • 永続化手法

IcedIDはタスクスケジューラにregsvr32.exeを使った形で永続化を残します。
EmotetはRunキーまたはサービスに永続化を残します。詳細は以下の記事にて紹介しています。(EmoCheckを実施して把握するのがオススメです)

  • 残ったファイル

 IcedIDはdocファイル実行時に%temp%フォルダ(通常C:\Users\(ユーザ名)\AppData\Local\Temp)配下に「im.com」「im.html」「temp.tmp」「(ランダムな数字).png」といったファイルが作成されます。

Emotetでは同様のファイルは作成されません。

 

攻撃グループの特徴

これらの攻撃を行っているのはどのような攻撃グループなのでしょうか。

  • Emotetを使用する攻撃グループ

Emotetは単一の攻撃グループが使用するマルウェアであると考えられています。
攻撃グループはMealybugs, Mummy Spider, TA542, ivanなどの名前で呼ばれています。(どれも同じ攻撃グループのことを指します)
Emotetに感染させる手法は上記で説明したメール経由による感染です。
Emotetは別のマルウェアに感染させる為の道具であり、別のマルウェアを感染させることで、他の攻撃グループから「使用料」を得ていると考えられています。
別のマルウェアはTrickbot, Qbot, Zloaderなど不正送金用途のものが多いです。

 

  • IcedIDを使用する攻撃グループ

IcedIDは複数の攻撃グループが使用するマルウェアで、不正送金を行うためのバンキングトロジャンと呼ばれる種類のマルウェアです。
感染手法も上記で説明した手法以外にも様々なケースが存在しています。
 (例) Emotetから二次感染させる(この手法を行う攻撃グループは識別されていません。)
   SmokeLoaderから二次感染させる(この手法はTA516と呼ばれる攻撃グループが行っています)
今回紹介している攻撃手法は Shathak または TA551 (どちら同じ攻撃グループのことを指します)と呼ばれる攻撃グループが行っている攻撃キャンペーンです。
過去には類似した手法でUrsnifへ感染する攻撃を行っていました。(2018/11/27, 2019/12/18, 2020/3/10, 3/13など)
目的はIcedIDによる不正送金と考えられます。

 

攻撃への対処

攻撃にあった場合、それぞれの攻撃手法、被害を受けた立場によって実施すべき対応が変わってきます。

  • Emotet

メール送信に利用された場合:Emotet感染有無の確認(EmoCheck)、メールアカウントのパスワード変更

受信したメールを開いた場合:Emotet感染有無の確認(EmoCheck

  • IcedID

メール送信に利用された場合:メールサーバアクセス制限、メールアカウントのパスワード変更

受信したメールを開いた場合:IcedID感染有無の確認(EmoCheckでは確認できない)

 

まとめ

ここまで紹介してきたように、「パスワード付きzipが添付された返信を装ったなりすましメール」というメールですが、2種類の攻撃グループがそれぞれ異なった手法で攻撃を行っています。

そのため、攻撃にあった場合の対処法は異なります。どちらのケースか注意深く判断し対応する必要があります。

 

宣伝

本資料にて紹介した2つのグループの攻撃キャンペーンについては、JSAC2021にて講演があります。Emotetは私達が発表します。

jsac.jpcert.or.jp

とあるEmotetの観測結果  by bom (@bomccss) &  sugimu (@sugimu_sec)

Shathakに関する攻撃キャンペーンの全体像

参考

本資料にて説明した2つの攻撃グループ[Emotet/Ursnif(今はIcedID)]の2019年10月時の手法の解説記事

2020年10月以降のShathakの攻撃の詳細分析記事

mal-eats.net

 2018年10月頃のshatakによる返信型Ursnifに関する記事

blog.trendmicro.co.jp

2020/3/13のshathakによる日本向け返信型UrsnifのIoC

pastebin.com

 

更新記録: 2020/12/01 - 2種類の攻撃キャンペーンの区別 を追加