欧州の法執行機関が、世界中のEmotetに感染したシステムを無害化するオペレーションを実施した様です。

securityaffairs.co

今年の初め、世界中の法執行機関と司法当局は、Operation Ladybirdという名前の共同作戦を実施し、EMOTETボットネットを混乱させました。当時、捜査官は国際的に調整された行動でそのインフラストラクチャーを管理していました。

この作戦は、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの当局間の共同努力の結果であり、国際的な活動はEuropolとEurojustによって調整されました 。

法執行機関は、Emotetボットネットのインフラストラクチャの一部として使用される少なくとも700台のサーバーを引き継ぐことができました。

当局は、感染したシステムをクリーンアップするために「EmotetLoader.dll」という名前の32ビットペイロードのプッシュを開始しました。Malwarebytesの研究者によって確認されたように、プロセスは2021年4月25日に自動的にトリガーされるように設定されました。

（Security Affairs記事より引用）※機械翻訳

 

キタきつねの所感

米司法省の資料では、全世界には約160万台のEmotet感染端末（内4.5万台が米国）があり、FBIや各国の法執行機関と協力して、IPアドレスを特定し、今回のオペレーションに及んだ様です。

Emotet Botnet Disrupted in International Cyber Operation | OPA | Department of Justice

FBIと協力して活動している外国の法執行機関は、海外にあるEmotetサーバーに合法的にアクセスし、4月1日の間にEmotetマルウェアに感染したと思われる世界中の約160万台のコンピューターのインターネットプロトコルアドレスを特定しました。 2020年および2021年1月17日。これらのうち、45,000台を超える感染したコンピューターが米国に設置された

 

Malwarebytesの投稿を読むと、4/25の午後1時に感染したシステムをクリーンアップするルーチンが含まれるファイルがプッシュされたとあります。

Today at 1:00 PM, our #Emotet-infected machine that had received the special law enforcement file triggered its uninstallation routine.

More details here: https://t.co/LfdPaNXiFm pic.twitter.com/ewTGpg17Ba

— Malwarebytes Threat Intelligence (@MBThreatIntel) 2021年4月25日

 

期限がすでに過ぎている場合は、アンインストールルーチンがすぐに呼び出されます。それ以外の場合、スレッドは同じ時間チェックを繰り返し実行され、日付が経過すると最終的に削除コードが呼び出されます。

アンインストールルーチンは、Emotetマルウェアに関連するサービスを削除し、自動実行レジストリキーを削除し、ファイルを％temp％に移動しようとしますが（失敗します）、プロセスを終了します。

（Security Affairs記事より引用）※機械翻訳 

 

複数のプロセスで削除ルーチンが動く様ですので、今回の”パッチ”で（日本国内の）多くの感染端末も知らない内に無害化される事になるのかと思います。

 

FEODO trackerを見ると、Emotetを構成していた（とされる）C&Cサーバは全てオフラインのままですので、このオペレーションが成功しつつあり、世界中の感染したシステムからEmotetが消去された（されつつある）様です。

feodotracker.abuse.ch

 

1月下旬のEmotetテイクダウンオペレーション（Operation Ladybird）の総仕上げが、このオペレーションだった様ですが、少し気になるのは「海外」まで影響が及ぶ点が問題が無いのかどうか？という点。

先日FBIのExchangeサーバに対するプロアクティブなオペレーションの記事を書きましたが、司法の許諾を得ていた善意な措置だったとは言え、FBIのオペレーションに対し、批判的な意見も結構ある様です。 

foxsecurity.hatenablog.com

 

しかし、今回のオペレーションはFBIが実施者ではなかった様です。

※名前は出ていませんが、前回のEmotetのオペレーションがEuropole主導でしたので、今回のオペレーションもそうだったのかなと思います。

「ボットネットを介してコードをプッシュすることは、たとえ善意があっても、主にそのようなアクションが意味する法的影響のために、常に厄介なトピックでした。DOJの宣誓供述書は、「FBI捜査官ではなく、外国の法執行機関が、海外にあるサーバーに保存されているEmotetマルウェアを法執行機関によって作成されたファイルに置き換えた」と記しています。

（Security Affairs記事より引用）※機械翻訳

 

今回のオペレーションは欧州にある押収されたEmotetサーバや、更新の仕組みを使った間接的な”攻撃”になるのだと思いますが、直接スタッフが携わったFBIのオペレーションとは違い、それほど批判的な意見は出てこないのではないかなと思います。

 

しかし、プロアクティブな行為である事は間違いなく、今後各国で”議論”がされていくテーマとなりそうな気がします。

※日本は蚊帳の外の気もしなくはありませんが・・・

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

• 2021年4月27日 AM