The Hacker Newsは2月28日(現地時間)、マルウェア「Emotet」が新しい機能を持ち、活動を再開したと発表した。

Emotetは、2014年ころに活動が観測され、2021年初頭に世界的な殲滅作戦により活動が下火になっていたが、2021年11月ごろから活動が活発化していたマルウェア。今回の発表では、Emotetに新しい機能が追加され、より危険性の高いマルウェアになったとして、注意を呼び掛けている。

現在確認されている新しい機能としては、

〇WindowsでHTA（HTML Application）を実行するMSHTAを再度活用するようになった
〇URL、IPアドレス、コマンド、シェルコードなど、検出につながる悪意のある文字列の細工が常に変化するようになった
〇C2フレームワークとしてCobaltStrikeを利用するようになった
〇プロセスツリーによる検出を回避するために実行チェーンが変更された

これらによって、IPアドレスを隠蔽する、DKIMなどのセキュリティをかいくぐる、最初の感染からランサムウェア攻撃までの時間が大幅に短縮されるなど、危険度が高くなっている。

Emotetの脅威は今後も継続することが予想される。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース