昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示された。送信先は実在の大手企業を名乗り、見積仕様書を提出してくれや、発注を装うって添付ファイルを開かせようとしている。こんなの送られてきたら開く可能大だ

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。不正なWord文書ファイルからEMOTETへ感染するに至るまでの流れ。まず、実行されたEMOTETは、以下の場所に自身をコピーして実行し、元の自身を削除

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。EMOTETがCookieとして送信していた謎の文字列の暗号化前の内容を解析から割り出した図。Cookieとして送られていた暗号化された文字列の中には、感染環境の以下のデータが含まれていることがわかる

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。実際にWord文書を開きPowerShellが動作した直後までの通信の流れ。上から順に複数のURLに接続、PowerShellのコードの処理を考慮すると、168KBは80KBより大きいため、この応答情報が918.exeとして保存される

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。繰り返される接続におけるリクエスト情報の中身を確認すると、EMOTETがCookieヘッダーを利用してC&Cサーバへ謎の文字列を送信していることがわかる

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。PowerShellに渡されたコマンドの時点でほぼ難読化がとけた状態となっているため、上の図の状態でも十分に処理が目視で判断できますが、より分かりやすく文字を置き換えて整形すると画像のようになる

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。添付ファイルには難読化された不正なマクロのコードが埋め込まれている

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。最後にPowerShellが呼び出され、引数に渡されたコマンドが実行される。不正マクロがこうして複数のプロセスを介しているのは、容易に処理を分析されないようにするためと考えられる

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。Wordのマクロから最初に呼び出されるコマンドプロンプトの引数を表示させた様子。2つ目のコマンドプロンプトに難読化されたコマンドを引き渡していることがわかる

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。EMOTET本体には、複数のC&Cサーバの接続先情報が暗号化された状態でハードコードされており、それらのC&Cサーバへ順に接続を開始

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。難読されたマクロが実行されると、複数のコマンドプロンプトやPowerShellが実行され複数の不正サーバへの接続が発生、最終的にEMOTET本体であるEXEファイルがダウンロード・実行されEMOTETに感染

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。2つ目のコマンドプロンプトの引数を表示させた様子。次はPowerShellに対し難読化されたコマンドを引き渡している

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。EMOTET本体には、複数のC&Cサーバの接続先情報が暗号化された状態でハードコードされており、それらのC&Cサーバへ順に接続を開始

昨日から拡散しているEMOTETウィルスの新型。セキュリティベンダーから解析情報が開示。EMOTETは、接続した複数のC&Cサーバのうち、応答がある接続先が見つかるまで接続試行。応答があるC&Cサーバが一度見つかると、次はそのC&Cサーバだけに接続を15分おきに繰り返すようになる

メールを擬態して感染させる「Emotet」、件名や文面を流用して仕事先を装う - 日本経済新聞 dlvr.it/T5w70R

aeris 🏳️‍🌈 qui à pourtant conclu que le SI du notaire - et certainement plusieurs autres notaires victimes d’attaques du type Qbot/Emotet- avait bien été accédé par des cybercriminels russes.

Phillip 🏳️‍🌈 Heute wird erstmal jeder emotet 💀😂

志月「前もEmotetについて説明したはずだが」
士郎「明からって書いてあるし…」
志月「あの子がおまえへのメールに『関係者各位』って送るかーーッ？！」
軍司は軍司でWi-Fiを切るのではなくPC本体を切るし…
日本の情報操作を担ってるのにこんなつまらんことで志月の胃痛マッハさすな

しつちょう＠MatsuuraMachineryCorporation SNSの発信すらしてない企業さんとか有りますからね。
（emotet のお詫びですら、言わないと上げないから、、、）