bom Profile
bom

@bomccss

Followers
5,875
Following
98
Media
479
Statuses
4,155

bomb💣 / マルウェアへ感染する日本語の #不審メール ばらまきメールの発信 , Japanese #malspam notificator / focus #ursnif #cutwail #emotet / 組織から独立した個人の活動 , work with community by @Sec_S_Owl

JST(UTC+0900)
Joined March 2017
Don't wanna be here? Send us removal request.
Explore trending content on Musk Viewer
Pinned Tweet
@bomccss
bom
2 years
ここでは、 2021/11/14以降に再構築されたマルウェア #Emotet とそのボットネット、それらを使う攻撃者(TA542、Mealybug)に関する情報を日本の情報を中心に世界の動向も交えながらまとめていきます。
1
44
154
@bomccss
bom
2 years
信じがたいことに #Emotet が戻ってきた兆候があるようです。 感染経路は別のマルウェア #Trickbot が追加のマルウェアとして感染させるようです。 まだスパム活動は未確認。 ダウンロードURLはこちらに。 C2アドレスはこちらに既にあります。
@Cryptolaemus1
Cryptolaemus
2 years
This is our 3rd anniversary of Cryptolaemus1. Thanks for all the follows and sharing of intel these past 3 years! To celebrate, Ivan has released a new version of Emotet because he feels left out and wants to be part of the party. More details coming soon. As always watch URLHaus
Tweet media one
6
84
184
1
114
186
@bomccss
bom
1 year
国内外で「最近のEmotetが~」という記事が出ることがありますが、 #Emotet は7/14の活動を最後に活動を確認していません。 そういった記事は7月以前の活動について述べています。誤解を生むような記事は控えていただきたいものです。
@bomccss
bom
2 years
2022/07/29(金) 7/15以降、引き続き #Emotet のメール送信活動は確認していません。 DLLの更新は確認されておらず、活動休止期間と思われます。 以降は定期的なツイートをやめ、何かまた動きがあった際にツイートします。
1
8
23
1
65
145
@bomccss
bom
3 years
ガーディアンズ・オブ・サイバースペース ~知られざる戦い~ | NHKニュース Emotetとの戦いの話を中心に、ばらまきメール回収の会の一部メンバーの活動を取材していただきました。
@nhk_news
NHKニュース
3 years
お金も出世も関係なく、名誉にもならない。 にもかかわらず、人知れず、最前線で凶悪なコンピューターウイルスとの戦いを繰り広げ、日本を守っているガーディアンたち。 彼らを、スーパーヒーローと呼ぶのは大げさだろうか。アメコミ好きの私はふとそんなことを思った。
3
190
404
4
49
142
@bomccss
bom
2 years
【注意喚起】 昨日より、2月以上に過去最大に国内での感染が広がっています! 感染が疑われる場合にはFAQを参考にしてEmoCheckで感染有無を確認ください。 ウイルス対策ソフトのスキャンログも確認。 Emotet関連の通信先をブロックしたい場合にはURLHausとFeodoTrackerのフィードを利用ください。
@bomccss
bom
2 years
参考 マルウエアEmotetへの対応FAQ 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて Emotet感染有無確認ツール Emotet 通信先 Emotet C2
1
30
50
1
142
143
@bomccss
bom
2 years
日本での #Emotet の感染が爆発的に増え続けたことで、ついには世界一のEmotetのメールの送信元になってしまったようです…。 非常にマズいです! ※Real Senderは感染してメールアカウントが取られEmotetのメール送信に使われていることを示す。  Fake Senderがなりすまされている送信者の表示名
@VirITeXplorer
TG Soft
2 years
#Emotet 2022-03-02: Japan hitten hard by Emotet On Real Sender .jp domains have beaten the .com. We have seen for the first time a national extension overcome a generic extension used worldwide @jpcert_ac @58_158_177_102 @sugimu_sec @bomccss @satontonton
Tweet media one
1
66
90
1
209
124
@bomccss
bom
7 months
マルウェアQakbotのインフラがテイクダウンされ、感染していたQakbotもアンインストールされたようです。 素晴らしい!
@USAO_LosAngeles
US Attorney L.A.
7 months
Qakbot malware disrupted in international cyber takedown
8
161
291
0
31
101
@bomccss
bom
2 years
要注意! 本日から、添付ファイルが送信元組織の名前のものを複数の組織で確認しています。 添付ファイル名に使われた企業はなりすまされただけで感染しているとは限りません。 署名欄は対象組織のHPから取得したと見られる正しい情報とロゴがついています。 ※以前から海外では同じケースが存在
Tweet media one
Tweet media two
1
127
99
@bomccss
bom
1 year
#Emotet に動きがありました。 10/11からEmotetに感染している端末に降ってくるモジュールが更新されたようです。 感染した端末から窃取するコンピューターの設定情報の取る内容が変わったようです。 まだメール送信活動は確認されていませんが、そのうち再開される可能性があります。
@Cryptolaemus1
Cryptolaemus
1 year
We have been following this situation since the module first showed up on Monday at 0745UTC on E4. As of today at 1330UTC, the module is now being deployed to bots on the E5 botnet as well. This looks to be a new development for Emotet and maybe soon a reawakening. Stay tuned.
1
62
100
1
58
93
@bomccss
bom
1 year
2022/11/02(水) #Emotet E4/E5の本体バイナリの更新が7/13から初めて行われました。 更に、17時過ぎに E4からメールが送信されたのを確認しています。 検体 活動が再開されましたので、警戒してください!
@Cryptolaemus1
Cryptolaemus
1 year
new Emotet E4 urls detected. [DLL] (1/2) hxxps://audioselec[.]com/about/dDw5ggtyMojggTqhc/ hxxp://intolove[.]co[.]uk/wp-admin/FbGhiWtrEzrQ/ hxxps://geringer-muehle[.]de/wp-admin/G/
2
36
86
1
69
85
@bomccss
bom
1 year
2023/03/07(火) #Emotet E4からマルウェア付きメールの送信再開を確認しました。 メールの添付zipのサイズは1MB以下ですが、展開すると500MB越えのdocファイルになります。 マクロ実行後にdllがダウンロードされますが、それも実行されると500MB越えになります。 アンチウィルス検知除けでしょう。
1
62
84
@bomccss
bom
4 years
Emotetについての感染者の確認や対処についてまとめました。 マルウェア #Emotet の感染時の被害および受信したメールによるEmotet感染者の見分け方 Emotetに感染した際の駆除の仕方
3
46
77
@bomccss
bom
2 years
少し前ですが、仕事でEmotetテイクダウンに関する振り返りのような寄稿をしました、という宣伝です。 Emotetの解説、国内の被害、どう対処したか、感���た課題などを書いています。少々長いですがご興味があれば。 Emotetのテイクダウンにみる日本のマルウェア対策
0
31
78
@bomccss
bom
4 years
#emotet の最新のIoCが有志のチーム Cryptolaemus により共有されているサイト Emotetの感染の調査、防御に役立ててください。 ただし、IoCは毎日変わりますので、最新の情報を取得してください。
1
36
76
@bomccss
bom
3 years
#Emotet の停止期限である、4/25 12:00を過ぎ、世界中の全てのEmotetが停止されました。 対応に関わった全ての方々、お疲れさまでした。
@Cryptolaemus1
Cryptolaemus
3 years
Today is the day the #Emotet version left on computers worldwide will uninstall itself. Thus ends the period to have IR find the Emotet dlls left over from old infections before the takedown. We are watching for Ivan's next moves with the rest of his buddies in RU. Keep fighting!
0
77
206
0
37
75
@bomccss
bom
1 year
添付のxlsファイルに書かれている英文ですが、ファイルを特定のパスにコピーして実行、となっています。 これをすると、マクロが有効化されて実行され、Emotetに感染してしまうため、危険です。 なお特定のフォルダは信頼済みサイトというOfficeの既定でマクロが有効化されるフォルダです。
Tweet media one
1
36
75
@bomccss
bom
3 years
2021/01/28にオンライン開催される日本のセキュリティカンファレンス #JSAC2021 で、ばらまきメール回収の会の @sugimu_sec さんと #Emotet の日本における被害状況や攻撃者の狙いについてお話します。興味ありましたらご参加ください。
Tweet media one
Tweet media two
Tweet media three
0
30
73
@bomccss
bom
4 years
Emotetは一日でこれだけのhash、URL、C2を使っています。 そのため、アンチウイルスソフトなどで単純に早期に検知、駆除するのが難しいと思います。 日本国内でもかなりの規模で感染が広がっているようにみられますので、引き続きご注意ください。
@pollo290987
\_(ʘ_ʘ)_/
4 years
#Emotet 18/12/2019 :: Resume :: 1068 Documents 31/1126 Payloads 387 C2 13 Ports 3 Keys 3 Templates [+] 144 NEW C2 IOC's @DecayPotato @Jan0fficial @luc4m @executemalware @James_inthe_box @bauldini @JRoosen @neonprimetime @HazMalware @lazyactivist192
Tweet media one
Tweet media two
Tweet media three
0
16
25
1
64
71
@bomccss
bom
2 years
マルウェア #Emotet の注意喚起です。 よくある日本語のメールパターン(画像1) 差出人はなりすまされているケースも多く、差出人が感染しているとは限りません。(画像2) 添付ファイルの見た目。(画像3,4) ファイルを開いても「コンテンツの有効化」を行わなければ感染しません。
Tweet media one
Tweet media two
Tweet media three
Tweet media four
1
88
70
@bomccss
bom
1 year
#Emotet は7/14以降まだメール送信活動は行われていません。 10/11頃に感染端末に対する情報収集モジュールの更新がありましたが、まだそれ以外に活動は見られていません。
@bomccss
bom
1 year
国内外で「最近のEmotetが~」という記事が出ることがありますが、 #Emotet は7/14の活動を最後に活動を確認していません。 そういった記事は7月以前の活動について述べています。誤解を生むような記事は控えていただきたいものです。
1
65
145
0
31
71
@bomccss
bom
4 years
EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」がリリースされたようです。 実際に動かすと、サービスとして登録するとすぐに EmoKill.exeがkillしていました。
0
37
68
@bomccss
bom
3 years
本日の #JSAC2021 にて @sugimu_sec さんと共に #Emotet についてお話ししています。 Emotetの日本における状況などについてお話しています。 カンファレンスはクローズドですが、資料は公開されています。 なお、Emotetは昨日テイクダウンされましたが、その前の話です。
Tweet media one
2
27
67
@bomccss
bom
2 years
2022/07/05(火) 引き続き、 #Emotet E4/E5 からメール送信が行われています。 E4 日本語 xls添付、パスワード付きzip添付->xls E5 xls添付、パスワード付きzip添付->xls
Tweet media one
1
20
66
@bomccss
bom
2 years
2022/03/04(金) 引き続き #Emotet のメール送信を確認しています。 E5に日本語本文が出現! E4 日本語本文 返信型または偽装返信型 パスワード付きzip->xlsm ,xlsmの添付 E5 日本語本文 返信型または定形型 パスワード付きzip->xlsm , xlsmの添付
Tweet media one
Tweet media two
Tweet media three
1
66
65
@bomccss
bom
4 years
#JSAC2020 の発表資料です。 Cc @AIR3_ytakeda @gorimpthon 「日本を狙うばらまきメールキャンペーンの脅威動向分析と対策」 #ursnif / #dreambot / #cutwail
1
27
66
@bomccss
bom
2 years
Emotetに関する詳しい話は過去カンファレンスで発表しており、資料は以下です。 1年前の資料ですがこの仕組は同じで、なりすましメール送信の仕組みなども解説しています。 またEmoCheckの仕組みは以下の資料で解説されています。 今も有効です。
Tweet media one
Tweet media two
1
24
60
@bomccss
bom
4 years
1/15の #emotet のばらまきメールと添付ファイルの一覧。 これ以外に返信型も確認しています。 過去の例をもとにしているので、変化している部分もありそうです。 例えば、今日の賞与関連の件名ではFILE.docなどこれまでのパターンと違うようです。
Tweet media one
2
30
55
@bomccss
bom
4 years
【注意喚起】 emotetに感染して、返信型emotet(実際に使っていたメールにemotetに感染させるdocファイルの付いたメール)がばらまかれている事例を10月以降継続的に確認しています。 やり取りしたことがある差出人からのメールでも、添付ファイルは開くのに注意ください。マクロの有効化はNGです
1
40
54
@bomccss
bom
4 years
#emotet が12/6より、メールにdocファイルを添付するのではなく、メール内のリンクからdocファイルをダウンロードさせるものが復活したようです。 添付とリンクと2つのタイプがありますが、どちらもdocファイルのマクロを実行しなければ、Emotetに感染しないのは同じです。 注意喚起の更新を。
1
47
52
@bomccss
bom
3 years
#Emotet がテイクダウンされたようです! C2サーバをおさえ、昨夜からシンクホールへと接続される本体に更新することで無害化したようです。
@Europol
Europol
3 years
Bye-bye botnets👋 Huge global operation brings down the world's most dangerous malware. Investigators have taken control of the Emotet botnet, the most resilient malware in the wild. Get the full story:
Tweet media one
60
1K
3K
1
37
52
@bomccss
bom
2 years
#Emotet のインシデント対応の現場担当者向けのWebinarを行います。 組織内からEmotetに感染したかも、と連絡を受けた際にどう対応するか、という内容です。 私も知見をもとにお話に参加することになりました。 本日の業務時間中ですが、お時間ある方は良ければご視聴ください。 URLは引用元参照
@58_158_177_102
moto_sato
2 years
明日、Webinarの最終調整をするので、ぎりぎりで設定まちがいやん、となったらURLを訂正するかもしれません 現場担当者向けです。業者の方はご遠慮ください 資料は公開予定です。読めばわかる方は資料でどうぞ 03/30 16:15~ 60分予定 with @Sec_S_Owl さん @gorimpthon さん <- でるのか不明
1
18
62
1
13
52
@bomccss
bom
1 year
ファイルサイズが大きいとアンチウイルスソフトがファイルのスキャンをスキップする可能性があります。 感染しても検知しない可能性があります。 現時点では、dllの検知率はVTでは1/64です。 現時点での防御策はやはりURLHausとFeodoTrackerの活用
1
19
51
@bomccss
bom
1 year
2023/1/18(水) 昨日、 #Emotet のE4/E5に新しいdllを準備する動きがあり、そのうちメール送信が行われる可能性があります。 準備して警戒しておきましょう。
@Cryptolaemus1
Cryptolaemus
1 year
Hello Ivan, is that you? *sounds of vodka bottles falling over* - We have reason to believe that #Emotet is coming back for distribution (SPAM) in short order. E4/E5 woke up yesterday. Now is the time to prepare and be vigilant as Ivan may have new lures/tricks/methods to share.
3
65
124
1
24
50
@bomccss
bom
2 years
2022/01/11 #Emotet のメール送信活動の再開を確認しました。 E4でメール内リンクからxlsのダウンロードページ、xlsのマクロ実行で感染します。 サンプル 通信先は既にURLHausに登録されていっています。
Tweet media one
1
22
50
@bomccss
bom
1 year
先週海外で話題になっていた、添付ファイルがOneNote(.one)形式のマルウェアがついているメールが日本でも受信確認されています。 英語メールなので明確な日本標的ではありませんが、メールフィルタで.oneの防御の検討を。 検体 AsyncRat 参考
0
25
51
@bomccss
bom
3 years
本件のリンクからダウンロードされるのはマルウェアです。 エクセルのアドイン形式であり、そのままでは動作しません。 ■ダウンロードファイル 情報窃取系マルウェア #WarzoneRat です。 ■C2 37.0.10[.]166:5200
@KesaGataMe0
KesagataMe
3 years
【注意喚起】日本医師会を騙る不審メールの流通について 件名:【重要】日本医師会より新型コロナウィルス感染状況のお知らせ
Tweet media one
1
33
33
2
24
49
@bomccss
bom
2 years
参考 マルウエアEmotetへの対応FAQ 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて Emotet感染有無確認ツール Emotet 通信先 Emotet C2
1
30
50
@bomccss
bom
2 years
昨夜より、E4でEmotet本体および関連モジュールが32ビット版から64ビット版に更新されたようです。 その影響で、これまで検知できていたウイルス対策ソフトもより検知しにくくなっています。 今はメール送信はないですが、今後の動きに警戒します。 E5にはまだですが、そのうち来るかと思います。
@Cryptolaemus1
Cryptolaemus
2 years
🚨 #Emotet Update🚨 - Looks like Ivan laid an egg for easter and has been busy. As of about 14:00UTC today 2022/04/18 - Emotet on Epoch 4 has switched over to using 64-bit loaders and stealer modules. Previously everything was 32-bit except for occasional loader shenanigans. 1/x
1
70
143
2
38
50
@bomccss
bom
3 years
#Emotet のメールデータサーバの一部をオランダ警察が差し押さえたようです。 以下のサイトで、Emotetにメールが取られているかを確認することが出来ます。 メールアドレスを入れると、取られていた場合にはメールが届くようです。
1
19
50
@bomccss
bom
4 years
#emotet が不謹慎なテーマのばらまきメールを行っています。 ■件名 添 ■添付ファイル 別添.doc 本文はコロナウイルスの対策について、添付ファイルを参照してください、というものです。 恐らくは盗んだメールを使った本文で、違和感のないものです。 気をつけてください!
Tweet media one
1
66
50
@bomccss
bom
1 year
2022/10/24 日本語のマルウェア付きメールが確認されています。 ■件名: 御見積依頼 SNJ IN2210036 ■ファイル名 御見積依頼 SNJ IN2210036_pdf.rar ->御見積依頼 SNJ IN2210036_pdf .exe ■ソース
Tweet media one
1
19
48
@bomccss
bom
2 years
2022/08/29 日本語のマルウェア付きメールを確認しています。 早稲田大学を名乗っていますが、偽物です。 ■件名 見積依頼書(早稲田大学) ASI934/JP462 ■添付ファイル名 見積依頼書(早稲田大学)29- 情報窃取系マルウェア #lokibot です。
Tweet media one
2
23
49
@bomccss
bom
4 years
cybereasonが"Emotet-locker"というツールをリリースしたようです。 #Emotet が作成するmutexを事前に作成することで被害を防ぐ、というツールでPC起動毎に実行が必要なようです。 実際に効果があるようです。
@ytakeda_sec
ytakeda
4 years
Emotet-locker を使った状態と使わない状態のそれぞれで自分の環境で動的解析してみた。 たしかに、使っていると感染挙動が出ない。 確認したのはこの検体です。
1
10
43
1
26
48
@bomccss
bom
1 year
マクニカ社から各社セキュリティ製品の #Emotet の検知状況のまとめが公開されました。 製品によっては検知できていないものもありますが、掲載されてる高性能な製品であれば概ね検知できているようです。 2023年3月に活動を再開した「Emotet」マルウェアの検知について
Tweet media one
2
18
48
@bomccss
bom
2 years
#Emotet の新たな手法が発見されました。 E4から配信されたメールで、メール内のリンクからpdfに偽装ページへ誘導されます。 pdfをインストールをクリックするとAdobeに偽装したマルウェアのインストーラーのポップアップが表示されます。 これをインストールすると #Emotet に感染します。
@Cryptolaemus1
Cryptolaemus
2 years
BREAKING: #Emotet malspam links can since yesterday link to an Universal App installer hosted on @azure imposing as an Adobe Update that drops E4 payload. This is the same initial attack vector as #BazarLoader used a few weeks ago, even using the same @SectigoHQ cert.
Tweet media one
Tweet media two
5
122
218
1
30
47
@bomccss
bom
1 year
2023/04/06(木) #Emotet の活動は確認していません。 しばらく活動がないので、日次のツイートは停止し、また活動再開したらツイートしたいと思います。 今回の3月の活動時間と日本の感染数は添付画像の通りです。
Tweet media one
Tweet media two
0
18
46
@bomccss
bom
2 years
フィッシング対策協議会 @antiphishing_jp からチャレンジコインを頂きました、ありがとうございます。 フィッシングの情報発信やフィッシング対策協議会への報告は行っていませんが、類似する脅威であるマルウェア付きメールの情報発信を評価頂いたのかと思われます。
Tweet media one
1
3
46
@bomccss
bom
4 years
気象庁を騙って送られたとされる #不審メール から誘導されるマルウェアについて調査しました。 #Vidar #SmokeLoader と考えています。 ■件名 案内・申請 ■送信元アドレス 気象庁(を詐称) 2019/11/06(水) 気象庁を騙る不審メールの調査
1
37
45
@bomccss
bom
4 years
#Emotet のメール配信がE2のボットの一部でテスト的にメール配信が始まったようです。 添付されるdocファイルの見た目も変わっています。 来週からは要注意です
@Cryptolaemus1
Cryptolaemus
4 years
#Emotet Update - @spamhaus / @nazywam Alerted us to a run of malspam coming form Emotet in the last 15-30 minutes. This is correct and we have confirmed this to be from the E2 botnet. Spam modules are being deployed and there is at least a test run being done currently. More Soon.
3
41
70
1
31
45
@bomccss
bom
2 years
2020/01/26(水) 引き続き #Emotet のメール送信を確認しています。 E5からxls、xlsmファイルの添付です。
1
5
45
@bomccss
bom
3 years
slide形式でも掲載しています。 2つの攻撃は受信するメールを見ると似ていますが、攻撃手法は異なるため、必要な対処も変わってきます。 セキュリティ事業者でも違いを把握できていない方も見受けられたため、違いを意識しやすいよう比較してまとめました。
1
24
44
@bomccss
bom
7 months
2023/08/27頃から、マルウェア #phorpiex に感染するマルウェア付きメールを少量確認しています。 メールは英語なので英語圏向けのものの流れ弾かと思います。 ■件名 Your Document #45 ■添付ファイル Document_45.zip ->Document_45.doc.lnk (1/2)
1
19
45
@bomccss
bom
2 years
Emotetの基本的な手口は変わっていません。 これまで同様以下の対策が有効です。 ・メールの添付ファイルは開かない ・Officeの「コンテンツの有効化」は押さない 発生する被害もまた同様でしょう。 引き続き以下の記事も参考になります。
Tweet media one
1
26
44
@bomccss
bom
4 months
マルウェアに感染する日本語メールが確認されています。 ■件名 [省略]エンジニアリング&コンストラクション カナダ、オンタリオ州のプロジェクト見積もりリクエスト ■添付ファイル doc129178202003180817410122023_pdf_(991KB).7z ■通信先 hxxp://alotropia.sa[.]com/
Tweet media one
@itc_uec
国立大学法人電気通信大学 情報基盤センター
4 months
【2023/12/11】日本語で書かれたばらまき型攻撃メール(FormBook, GuLoader, Remcos)に関する注意喚起
0
1
13
0
13
44
@bomccss
bom
6 months
少数ですがマルウェア付き日本語メールを確認しています。 ■件名 運転免許証の更新申請に関連する通知と問題が提出され、解決が必要ですID_573750_{ユーザ名} ■添付ファイル ID-191304203986.docm #PurpleFox ■通信先 hxxp://black-sun-a335.asyorfplmnv.workers[.]dev/
Tweet media one
0
19
43
@bomccss
bom
3 years
Cryptolaemusからもコメントをもらいました、ありがとうございます! Emotetの戦いにおいて、常に中心にいたのは世界中にいるチームCryptolaemusです。 彼らと一緒に、情報を共有し世界をより安全にしていくという思いで活動できたことをとても誇らしく思います。
@Cryptolaemus1
Cryptolaemus
3 years
- Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan! :) Very happy to see them honored this way and sorry to anyone we did not mention in our tweet there. Stronger Together!💪
1
40
97
2
7
43
@bomccss
bom
3 years
フィッシングメールからマルウェア誘導 ■件名 新型コロナワクチン接種について予約受付のお知らせ ■リンク hxxps://xinguan.ddnsking[.]com/static/picture/新型コロナワクチン接種予約サイトでの予約方法を教えてください.zip ■サンプル ■通信先 k.81090080[.]com
@KesaGataMe0
KesagataMe
3 years
#Phishing #厚生労働省 #mhlw #ワクチン予約 #ワ��チン接種 #COVID19 #ワクチンナビ そして、Phishing登録完了後のページで”新型コロナワクチン接種予約サイトでの予約方法を教えてください.zip”のマルウェアzipダウンロードを促しています。 ご注意を。
Tweet media one
1
12
12
0
21
42
@bomccss
bom
4 years
SPFもDKIMもメールの送信経路が正規かどうかを確かめるもので、正規の経路が乗っ取られて悪用されている場合は効果がないです。 Emotetやラテラルフィッシングなどの場合は別の手だてが必要です。 正しい情報を持っていないと正しい対策が立てられないのは当たり前ですけど難しいですね。
@sugimu_sec
sugimu
4 years
今さっき山手のホームで男性3人がそれぞれノートPC弄りながら電話口で『弊社製品はSPFやDKIMでも認証するのでEmotetのメールも大丈夫です!』などと言い切って営業していたので新手の悪徳商法かと思った
0
45
82
0
15
42
@bomccss
bom
5 years
シンクホールによる観測で、マルウェア #ursnif の感染の現状を分析しました。 「シンクホールによるursnif(B)の感染端末の分析」 過去3ヶ月以上も #不審メール によるばらまきを行っていない攻撃者ですが、感染端末は未だ200端末以上あると考えられます。
0
28
41
@bomccss
bom
1 year
サンプル 添付のzipファイルは628KB 展開後のdocは509MB dllはzipでダウンロードで875KB 展開された後のdllは526MB docのデコイ画像は以前も使われた"Red Dawn"
Tweet media one
1
20
42
@bomccss
bom
2 years
2022/04/25(月) 23:30前から #Emotet E4のメール送信を確認しました。 E4 返信型または偽装返信型 パスワード付きzip->xlsまたはxls、パスワード付きzip->lnkまたはlnkの添付 今日開始が遅かったのはlnk添付の修正でしょう。lnkが動くようになっています。
Tweet media one
1
25
42
@bomccss
bom
4 years
本日より、 #emotet のファイル名生成アルゴリズムとC2通信のパス生成アルゴリズムが変わったようです。 今のところE2と呼ばれる一部の環境のみですが、E2はテスト環境として使われていることが知られてますので、すぐに他の環境にも広がるかも知れません。
@Cryptolaemus1
Cryptolaemus
4 years
#Emotet Update: Looks like we are seeing signs of a protocol change for C2 that matches what we saw last night for the new possible E4 loader. It may not be an E4 but more likely a loader/C2 revision that is inbound. Right now only E2 is exhibiting this behavior.
1
31
41
1
22
41
@bomccss
bom
3 years
情報窃取系のマルウェア(AgentTesla,Formbook,Lokibot,SnakeKeylogger,Remcosなど)は少数ですが、日本国内の組織でまばらにメール受信があります。 世界的な攻撃の一部が日本向けに数は少ないですが出ている、といった印象です。 メールは日本語ですが、機械翻訳かと思われます。
1
18
40
@bomccss
bom
3 years
これまでのUrsnif、Emotetとの戦いでは、記事になった8人の他にも、ばらまきメール回収の会の10名程度のメンバーと協力しながらやっています。 いつも皆さんありがとうございます。
1
7
39
@bomccss
bom
1 year
2023/3/16(木) 6:15頃より #Emotet E4が、7時頃よりE5がメール送信活動を再開しました。 添付ファイルが.one形式に変化しています。 画像をダブルクリックすると含まれるスクリプトが実行されて感染してしまいます。 E4 E5
Tweet media one
1
26
39
@bomccss
bom
1 year
マクニカ社の各社セキュリティ製品の #Emotet の検知状況のまとめが更新されています。 本日のOneNote形式も一部確認中もありつつ追記されています。 また、製品以外にセキュリティ施策・運用での対応についても記載されています。 素晴らしいですね!
Tweet media one
Tweet media two
1
17
39
@bomccss
bom
3 years
日本語のばらまきメール(malspam)が確認されています。 h/t: @abel1ma , @58_158_177_102 ■件名 【お振込口座変更のご連絡】 ■添付ファイル [数字8桁].zip -> [数字8桁].txt 例: -> 215124617.xls ■サンプル デコイ画像は見覚えがありますね。
Tweet media one
Tweet media two
1
27
39
@bomccss
bom
4 years
マルウェア #Emotet (エモテット)について に感染すると、ビジネス的にどんな影響が出るか、を追記しました。 Emotetはマクロを有効化しない限り感染しません。マクロの設定を再確認してください。 感染有無はEmoCheckで確認しましょう。
Tweet media one
Tweet media two
2
28
39
@bomccss
bom
5 months
日本語のマルウェア付きメールが確認されています。 ■日時 2023/11/06 ■件名 RFQ-10/004_PTT プロジェクト ■添付ファイル 添付資料-3_RFQ 11_004·pdf[.]zip #GuLoader #Remcos
Tweet media one
1
15
38
@bomccss
bom
4 years
本日観測した返信型Emotetの新しいパターンと思われる本文です。 リンク型ですが、メール本文はHTML形式となっており、実際のリンク先アドレスは別です。 特に危険なのが、なりすましメールの送信元ドメインのURLを詐称している点です。 実際のリンク先
Tweet media one
Tweet media two
1
26
38
@bomccss
bom
2 years
2021/12/04 厚生労働省を騙った日本語のマルウェア付きメールが確認されています。 #raccoon stealer の日本語メールを確認したのは初めてかな。
@abel1ma
abel
2 years
12月4日6時頃に、厚生労働省を騙った不審なメールを受信しました 件名 【紧急】新型コロナウイルスの変種のため、15日以内の個人情報を報告してください 誘導先URL hxxps://iabnc[.]com/ (excel .exeがダウンロードされます) (続く)
1
49
57
1
19
36
@bomccss
bom
4 years
6/9 5時頃より、スパムボット #phorpiex からランサムウェア #avaddon への感染を狙ったばらまきメールを確認しています。 ■添付ファイル IMGnnnnnn.jpg.js ■通信先 hxxp://217.8.117[.]63/jpr.exe
Tweet media one
3
20
36
@bomccss
bom
2 years
2022/02/23(水) 2/10以降停止していた #Emotet のメール送信が23日4時頃より再開されました。 E4 パスワード付きzip->xls またはxlsの添付 E5 パスワード付きzip->xls またはxlsの添付 通信先詳細は以下を参照。
1
28
36
@bomccss
bom
4 years
数ヶ月放置していた分をまとめてblogに書きました。 Emotetはとても危険なので感染被害を防ぐよう対策してください。 が言いたい事です。 感染するとメールが取られスパムボットし更に被害拡大すること、追加のマルウェアによっては不正送金の被害だけでなく標的型ランサムで甚大な被害がでます。
1
15
31
@bomccss
bom
2 years
昨年11月の再開後は使われてなかったSMB拡散モジュールが最近確認されています。 同じネットワークの他の端末がメールの添付を開いていなくてもEmotetに感染する可能性があります。 日本では、5/16、6/12に同様の事例を確認していますが、恐らくは感染端末によって発生する日は異なるかと思います。
@ilbaroni_
J
2 years
yo the SMB spreader is back to Emotet. Wrote a quick overview of the module here:
5
66
152
1
20
36
@bomccss
bom
2 years
主にCSRIT、社内SEの方向けの記事ですが、EmoCheckをAD配下の端末に対しログオンスクリプトで実行し結果を収集する方法が解説されていましたのでご紹介。 なお、Emotetもログオン時に起動するため、EmoCheckをかける前に少し遅延を入れた方が良いかも知れません。
@adomini_tweet
あどみに@社内SE
2 years
新規記事を投稿しました! Emocheckを自動で実行してログを集めます(V2.1対応) #エモテット #Emotet #Emocheck
0
8
18
2
8
36
@bomccss
bom
1 year
2022/11/25(金) 引き続き #Emotet のメール送信はE4/E5ともに停止中です。 これで約2週間休止中です。 今後は活動再開したら発信します。
3
6
35
@bomccss
bom
4 years
本日1/14 8時頃 #Emotet を観測しています。 返信型Emotet、請求書関連の件名でばらまきメールも観測されています。 サンプル リンク(docファイル) hxxp://zeniaxsolution[.]com/a5bc0d28dba0d6b56ad1f1461a4d329e/60kr8-mgb-11/
1
19
36
@bomccss
bom
2 years
JPCERTの #Emotet の注意喚起が更新されました。 国内の日々の新規の感染数は過去ピークの5倍以上です。 新規感染数のグラフなので総感染数はかなりの数です。 なお、感染数のデータは様々な方に協力頂いて集計して情報提供しています。 画像は11月以降のみの抜粋。
Tweet media one
1
30
35
@bomccss
bom
5 months
日本語のマルウェア付きメールが確認されています。前日には同じ文面の英語版も確認しています。 ■日時 2023/11/01 ■件名 RFQ-10004_PTT プロジェクト ■添付 RFQ-10004_PTT プロジェクト·pdf[.]zip #GuLoader #Remcos 英語版 #Nanocore
Tweet media one
1
19
34
@bomccss
bom
4 years
#emotet に感染しているかの確認と感染を防ぐツールがリリースされています。 makeする必要があるので素人には使いづらいですが。 企業での予防や大規模感染している場合のインシデントレスポンスには良さそうです。 (感染確認ツールには出来ればどこのパスに本体があるか教えて欲しかった)
@D00RT_RM
d00rt
4 years
@hatching_io @CapeSandbox I also just released a vaccine for #Emotet . A protection and detection tool to avoid get infected by Emotet payload. The code and the binaries are in my repository. #malware
0
26
45
1
21
34
@bomccss
bom
2 years
日本ではまだ珍しい #warzonerat に感染する日本語のメールです。情報窃取系のマルウェアです。 自分が把握している範囲では2例目。 とはいえ、メールの作りは他の情報窃取系マルウェアと似た作りですね。
@58_158_177_102
moto_sato
2 years
日本語マルウェアメールの接到を確認しています。 #maldoc in Japanese #warzonerat sample : (17/54)
Tweet media one
0
13
37
2
9
33
@bomccss
bom
2 years
昨夜から、日本向けにマルウェアに誘導するメールがとどいています。 件名はなし、本文はリンクだけ、です。 リンク先はOneDriveで、ダウンロードされるファイルは700MBです。 ダウンロードされるファイルは #RedLine です。
2
23
33
@bomccss
bom
4 years
#emotet ですが、日本を狙った特殊な本文のメールのばらまきが観測されています。 通信先は他と変わらないと思われます。 件名などは何種類かあります。 ■件名 賞与支払 など ■添付ファイル 2019冬・業績賞与支給.doc など ■本文 冬季賞与、賞与支払届総括表などの文言があります。
1
30
33
@bomccss
bom
2 years
#Emotet はOffice製品のマクロ実行無効化への対策として.lnkによる新たな感染手法をテストしていると考えられる。 既にvbsの利用からpsの利用へ手法の微修正等を行っており、今後も手法は改善される可能性がある。 lnkからpowershell実行の非許可等の対策を推奨。 今後E5でも使われる可能性が高い。
@Cryptolaemus1
Cryptolaemus
2 years
#Emotet Update - Looks like Ivan has changed things again and @Max_Mal_ caught them. Now the LNKs are calling Powershell.exe directly in the normal location for a typical Windows install under system32. No more appended VBS appended to the end of the file. 1/x
4
42
93
1
23
33
@bomccss
bom
2 years
2021/11/17(JST) #Emotet によるメール送信を確認しています。 本文は英語で日本へは流れ弾程度 1. docmファイルが添付されたメール 2. xlsmファイルが添付されたメール 3. docmファイルへのlinkが含まれるメール 4. 盗まれたメールが日本語(本文は英語)のメール 1,2は定型型、3,4は返信型です。
Tweet media one
Tweet media two
Tweet media three
Tweet media four
1
18
33
@bomccss
bom
4 years
#TA505 と思われる #不審メール を確認しています。 ■件名 令和元年度職員録 ■送信者(偽装) 山口 陽弘 ■ファイル名 SKM_C30819111NNNNNN.xls ※NNNNNNは数字6桁 ■検体 ※ハッシュは他にも複数あり ■通信先 hxxps://live-en.com ※11/27にも使用
1
19
31
@bomccss
bom
1 year
2022/11/04(金) 引き続き、 #Emotet E4/E5からメール送信されています。 E4 日本語メールあり xls添付またはパスワード付きzip添付->xls E5 xls添付またはパスワード付きzip添付->xls
Tweet media one
Tweet media two
Tweet media three
Tweet media four
1
24
32
@bomccss
bom
2 years
このグラフは #Emotet の各Epochの送信元に悪用されるメールアドレスのうち.jpの割合です。 Epochごとに占める日本の感染端末の割合とほぼ同じです。 E4は3月以降は全世界に対して送られているEmotetに感染するメールの約半数が日本から送られてしまっています。 E5は日本の割合は少ないです。
Tweet media one
2
12
32
@bomccss
bom
1 year
#Emotet の概要は #Emotet に感染したかもしれないときの確認手順は 上記にも記載のあるEmotet感染有無確認ツールEmocheck は現時点でも有効に検出できることを確認しています。
1
23
32
@bomccss
bom
9 months
日本語のマルウェア付きメールを確認しています。 ■日時 2023/07/11 ■件名 請求書 - [数字] $[数字] 支払いの確認 ■添付ファイル 請求書-[英字].zip -> Invoices.lnk ■通信先 hxxp://185.237.218[.]53:8081/setup.jpg #PurpleFox
Tweet media one
Tweet media two
1
12
32
@bomccss
bom
2 years
#Emotet に感染するxlsファイルの見た目が変化したのを確認しました。(画像1) E5です。 これで今年使用されている見た目は3種類になります。(画像1-3) この見た目のファイルを開きマクロを有効化したらEmotetに感染します。 ご注意を。 サンプル
Tweet media one
Tweet media two
Tweet media three
1
10
31
@bomccss
bom
1 year
2023/03/08(水) 昨晩再開された #Emotet E4からのメール送信は引き続き行われています。 現時点では日本語本文のメールは確認していません。 日本のメールが取られた返信型のメールのサンプルを載せます。 引用メールは古く、引用の日本語は文字化けして?になっています。
Tweet media one
1
17
32
@bomccss
bom
6 months
日本語のマルウェア付きメールが確認されています。 ■日時 2023/09/28 ■件名 支払いリリースの確認 ■添付ファイル 00301830595702.xlsx.jar jratのようです。
@itc_uec
国立大学法人電気通信大学 情報基盤センター
6 months
【2023/9/28】日本語で書かれたばらまき型攻撃メール()に関する注意喚起
0
3
6
0
12
32