2023年3月に活動を再開した「Emotet」マルウェアの検知について
CRANK

2023年3月7日、約4ヶ月ぶりにEmotetの活動が再開しました。Emotetは一定期間の活動と活動停止を繰り返しており、活動再開時には挙動や攻撃手法を変更してくる事が珍しくありません。今回はEmotet感染の起点となるOfficeファイル※1やマクロ実行後に外部より持ち込まれるEmotet本体※2のファイルサイズが500MB超と意図的に大きくされています。※1:メール上ではZip圧縮されており1MB未満のサイズでメール添付されていますが、それを解凍すると500MB超のOfficeファイルが現れます。Zipはパスワード圧縮では無いため、最近普及したパスワード付きZipの受信を拒否するという対策も回避されています。※2:Emotet本体のファイルについても同様にZipで外部サイトから1MB未満のサイズで端末にダウンロードされ、それが解凍され500MB超のEmotet本体が現れます。セキュリティ製品ではサイズが大きいファイルへの検査がうまく行えないこともあり、メール検査やファイルダウンロード時、エンドポイント上での検知を逃れるための工夫と考えられます。そのような状況を受け、改めて弊社取扱製品での検知状況の確認を行いましたので、結果を共有させていただきます。なお、Emotet自体の攻…

macnica.co.jp
Related Topics: Security CyberAttack