SophosLabs のセキュリティ研究者は、再アクティブ化された Emotet ボットネットの現在の活動を調査しています。 彼らは、Emotet が現在どのように CFF を使用しているかを説明しています。これは、ボットネットのマルウェアがカモフラージュしてセキュリティ対策から身を隠すために使用するコーディング技術です。
Emotet は、脅威の状況において最も専門的で長命のサイバー犯罪サービスおよびマルウェア感染の 2014 つです。 このボットネットは、2021 年の登場直後に悪名を馳せ、2021 年 XNUMX 月に多国籍法執行機関によって阻止され、XNUMX 年近く活動を停止しました。 最後に、XNUMX 年 XNUMX 月にボットネットが再浮上し、ソフォスのレーダーに再び現れました。
Emotet: レーダーに戻ってきました
SophosLabs のセキュリティ研究者である Andreas Klopsch は、次のように述べています。
「上の棒グラフは、2022 年の第 XNUMX 四半期にソフォスのサンドボックス システムで検出された Emotet の出現を示しています。 グラフからわかるように、毎日複数の Emotet の提出が寄せられています。 繰り返し発生する主要なスパイクは、大規模なキャンペーンであると想定しています。 Emotet は主に電子メール スパムを介して配布されます。悪意のある電子メールが増えると、必然的にサンドボックスへの送信も増えます。
また、研究チームは、Emotet が CFF をアクセラレータとして使用して防御を遅らせることが多いことに気付きました。 2020年から使用されている手法。
戦術としての難読化
「CFF は、マルウェアの意図を隠すために使用される有名な難読化手法であり、防御側が理解して攻撃から保護することを困難にします。 この難読化手法を取り除くプロセスは、「非平坦化」と呼ばれます。 SophosLabs の研究チームは、難読化された機能のほとんどを発見し、難読化のいくつかの追加レイヤーを破ることに成功しました。 これにより、Emotet の内部動作をより深く掘り下げることができます。 これにより、企業は Emotet 攻撃が発生した場合に、より優れた検出とより迅速な応答時間を得ることができます」と Andreas Klopsch 氏は述べています。
ソフォスは、防御者が Emotet 攻撃で CFF レイヤーのスタックをアンフラット化するのに役立つツールも GitHub でリリースしました そしてお披露目。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。