2020/10/31でメール送信が見られなかったEmotetですが、2020/12/21からメール送信が再開されました。
更に、実行プロセスにおいて幾つか変更点が見られますので、その点について記載していきます。

■Emotetのメール配信日
以下は2019年9月から2020年12月までのEmotetのメール配信があった日を色付けしたものです。
赤色が日本向けが確認された日、黄色は日本以外の全世界のどこかへメールが配信された日です。

■日本向けに配信されているメール

12/22時点で、12/21,22と日本語件名、本文、添付ファイルのメールを確認しています。
また、添付ファイルのデコイ画像が日本語のものも12/22には確認しています。
日本語以外では、英語本文の返信型のメールが送信されていることも確認しています。

・メールサンプル： クリスマス系

件名：[宛先表示名] メリークリスマス
添付ファイル名：メリークリスマス.doc
本文：
[宛先表示名] メリークリスマス
いつも大変お世話になっております。
以上、よろしくお願い致します。

・メールサンプル：賞与系
件名：
払
届
払届
賞与
賞与支
賞与支払
賞与支払届
賞与支給に際しての社長メッセージ
2020冬・業績賞与支給

■添付ファイル
添付ファイルの見た目は様々で2020年10月までのものと変化はありません。
中でも、日本語のデコイ画像が一つあり、これは明確に日本を狙っていると言えます。

＜サンプル＞

メールがクリスマス系で添付のデコイが「すこし黄色」のオンラインサンドボックスでの実行結果のサンプルはこちらです。
https://app.any.run/tasks/3adbfb21-eb06-4907-b962-b6410368c1bb/
https://tria.ge/201222-m5r9v71np6

■変更点
今回の活動再開で、一番変化したと言えるのが、感染プロセスです。
この変更により、現時点のEmoCheck (https://github.com/JPCERTCC/EmoCheck)では検知は不可能です。
下の図はanyrunでdocファイルを実行した時のプロセスツリーです。

1. マクロを有効化（実行）すると、WMIからcmdを実行します。
2. cmdは一つはメッセージウィンドウを表示します。メッセージ内容はエラー内容に見せかけたものですが、エラーウィンドウではなく単なるメッセージウィンドウです。

3. その裏でpowershellで外部サイトへアクセスし、Emotetの本体ファイルをダウンロードします。この時アクセスするURLはこれまで通り7つ候補があり、どれかから落とされるまで試行します。
　このEmotetの本体ファイルはこれまでのexe形式ではなく、dll形式となっています。
4. ファイルはユーザフォルダ(C:\Users\ユーザ名\)配下のランダムなパスへ配置され、それをrundll32.exeで実行します。
5. 実行されると自身のコピーをC:\Users\ユーザ名\AppData\Local\配下のランダムなパスへ設置します。
　この時、フォルダ名、ファイル名、拡張子は全てランダムな文字列となっています。規則性があるかもしれませんが、静的解析しているわけではないので現時点では不明です。
6. この拡張子ランダムで実態がdllファイルに引数RunDLL (2020/12/29以降は Control_RunDLL)をつけて再びrundll32.exeで実行します。
7. その後、C2と通信が確立すると、永続化としてレジストリRunキー(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)に設定されます。

設定されている名前はファイル名と同じとなります。

現時点の最新のEmotetの感染有無の確認は、
　・　プロセス一覧の中にrundll32.exeが動いている
　・　その引数のファイルの拡張子がdllでない
　・　実行のエクスポート関数がRunDLL (2020/12/29以降は Control_RunDLL) である
　・　それがレジストリRunキーに設定されている
という点を確認する必要があると思われます。
ただ、これはすぐに変更可能な点ですので、確認ポイントとして今後しばらく使えるか、という点は不明です。

・その他変更点
C2との通信方式やEmotet内の設定情報の持ち方が変わったようです。 

■変わっていない点
これまでのところ、上記以外では目立った変化は確認出来ていません。
感染後にメール送信や別のマルウェアに感染させるなど、機能は変わっていないと考えられます。

<参考>
本blogの過去のEmotet関連の記事 

以上