NICTに届いたEmotetへの感染を狙ったメール(2019年9月~2020年2月)

はじめに

2019年9月以降,日本国内において Emotet と呼ばれるマルウェアの感染報告が多数上がっており,独立行政法人情報処理推進機構(IPA)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が Emotet に関する注意喚起1 2 3を発信しています.

NICT においても,2019年9月20日から2020年2月7日にかけて, Emotet への感染を狙ったメール(以降,Emotet メール)が届きました.本ブログでは,NICTER 解析チームが確認した Emotet メールの特徴と感染後の流れについて紹介します.

Emotet への感染を狙ったメールの特徴

NICT には,2019年9月20日から2020年2月7日にかけて,108件の Emotet メールが届きました(図1).

/posts/2020-01/nict_emotet_mail.png

図1. NICT に届いた Emotet メールの件数の推移

Emotet メールが届いた時期には,図1のような偏りが見られました. 特に,12月と1月の2ヶ月間は,最も多くメールが届いた時期であり,67件のメールを確認しました. この時期には,メールの傾向に変化が見られました.これについては,docファイルの配信パターンで後述します. また,10月24日から11月17日,12月21日から1月13日の期間は,メールの受信がなく休止していました. 同様に,2月7日以降も確認していません.

NICTER 解析チームでは,NICT に届いた Emotet メールについて,以下の3つの観点で特徴をまとめました.

  • Emotet メールの件名
  • doc ファイルの配信パターン
  • doc ファイル(Emotet ダウンローダ)の特徴

それぞれの項目について,次節以降で紹介します.

Emotet メールの件名

Emotet メールの件名に使用されている言語には,英語と日本語の2種類がありました.2019年9月までは英語のみでしたが,10月からは日本語が使用された件名も確認しました. Emotet メールに使用された件名の例を表1に示します.

表1. Emotet メールに使用された件名の例

/posts/2020-01/nict_emotet_subject.png

表1では,Emotet メールの件名を多用型,返信型,その他の3点に分類しました.

  • 多用型:
    複数のメールで使い回された件名を多用型として分類しました.「ドキュメント」や「助けて」といったキーワードの後に,日付や個人名など記載された件名も確認しています.
  • 返信型:
    件名に「Re:」や「RE:」が付いた件名を返信型として分類しました.多用型と違い,ビジネスを連想させるような件名を多く確認しています.
  • その他:
    多用型と返信型に該当しない件名をその他として分類しました.件名がない場合や,賞与に関連する件名などを確認しています.

表1に挙げた件名以外も確認しています.NICTER 解析チームが確認したすべての Emotet メールの件名を 付録に記載しました.

docファイルの配信パターン

doc ファイルの配信パターンには,以下の2種類がありました.

  • doc ファイル添付型メール:

    • メールに doc ファイルが添付されているもの
    • 観測時期: 2019年9月から2020年2月まで
  • URL 記載型メール:

    • メール本文に doc ファイルのダウンロードリンクが記載されているもの
    • 観測時期: 2019年12月から2020年2月まで

doc ファイル添付型メールの特徴

doc ファイル添付型メールの特徴について紹介します.図2に,2019年12月4日に NICT に届いた doc ファイル添付型メールを示します.

/posts/2020-01/emotet_mail_doc.png

図2. NICT に届いた doc ファイル添付型メール

図2のメールは,実在する組織のメールアドレスを利用して,NICT のメーリングリスト宛てに届きました.メールの本文には,数行程度の適当な文章が記載されていました.メール本文の末尾には,実在する組織名(ただし,メールの送信元とは無関係)と,NICT のメーリングリストに登録されているユーザのメールアドレスが,署名として使用されていました.また,このメールには,図3の doc ファイルが添付されていました.

/posts/2020-01/emotet_doc_example.png

図3. メールに添付されていた doc ファイル

doc ファイルを開くと,以下のような「コンテンツの有効化」を促す文章が書かれていました.

This document was created in OpenOffice.
To edit this document, click Enable editing button from the yellow bar above.
Once you have enabled editing, please click Enable content button from the yellow bar abobe.

実際に「コンテンツの有効化」ボタンを押すと,Emotet の実行ファイルがダウンロードされ,Emotet に感染します.

URL 記載型メールの特徴

URL 記載型メールの特徴について紹介します.図4に,2020年1月23日に NICT に届いた URL 記載型メールを示します.

/posts/2020-01/emotet_mail_url.png

図4. NICT に届いた URL 記載型メール

図4のメールは,実在する組織のメールアドレスを利用して,NICT の職員のメールアドレスに送信されました.メール本文には,数行程度の適当な文章が書かれていましたが,doc ファイル添付型メールと違い,URL が記載されていました.

メール本文に記載されている URL は,https://nict.go.jp/Pages/ に見えますが,このメールはHTML形式で記述されています.実際には,hxxp[://]globalmudra[.]com/INC/invoice/ に遷移し,図3に似た doc ファイルがダウンロードされます.

また,メール本文の末尾には,署名として実在する大学の教授名とそのメールアドレスが記載されていました.このように Emotet メールの中には,実在する国内組織の情報が悪用されている事例があります.NICTER 解析チームでは,そのようなケースを確認した場合には,JPCERT/CC に報告しています.

doc ファイル(Emotet ダウンローダ)の特徴

Emotet メールに添付されていた doc ファイルは,全部で66種類ありました.doc ファイルを開いた際に表示されるドキュメントの外観を分類すると,8つのパターンがありました.確認したドキュメントの外観は,すべて付録 に記載しています.

これらの doc ファイルには,すべて VBA のマクロが仕込まれており,JavaScript もしくは Powershell を用いて Emotet をダウンロードし,実行する挙動を確認しました.

JavaScript を使用する検体

JavaScript を使用した検体は,全部で5件ありました.確認した検体のうち,4件は2019年9月に,1件は2020年1月に確認しました.

JavaScript の実行には,wscript が使用されていました.以下のようなファイルとして保存し,そのファイルを wscript から読み出して JavaScript を実行していました.

  • C:\Users\ユーザ名\AppData\Local\Temp\0.7055475.js (2件確認)
  • C:\Users\ユーザ名\0.2140314.jse
  • C:\Users\ユーザ名\0.8685114.jse
  • C:\Users\ユーザ名\Roaming\0.2751123.jse(2020年1月に確認した検体)

保存されたファイルを開くと,JavaScript のコードは,図5のように 難読化されていました.

/posts/2020-01/emotet_js.png

図5.難読化された JavaScript の一部(整形済み)

実行されるスクリプトの内容は,Zscaler の研究チームによる報告4と同様でした.変数 「a」 に暗号化された文字列が格納されており,その文字列を「b」という関数で復号します.実際に復号した文字列の一部を図6に示します.

/posts/2020-01/emotet_js_str.png

図6.復号した文字列の一部

復号した文字列の中には,図6のように複数の URL が埋め込まれていました.これらの URL は,Emotet のダウンロードリンクであり,JavaScript 実行時にアクセスされます.

また,2019年9月に確認した4つの検体は,図7のようなメッセージウインドウを JavaScript で生成していました.

Not Supported File Format
There was an error opening this document. The file damaged and could not be repaired (for example, it was sent as an email attachment and wasn’t correctly decoded).

/posts/2020-01/doc_js_popup.png

図7.JavaScript で生成されるメッセージウインドウ

Powershell を使用する検体

Powershell を使用した検体は,全部で61件ありました.JavaScript を使用した場合と違い,ファイルに保存せずに Base64文字列を引数に指定して Powershell スクリプトを実行していました.

引数への指定方法は,以下の7つのパターンが確認されました.月日とともに少しずつ変化していることが分かります.

  • 2019年9月
    • powershell -encod Base64文字列
  • 2019年10月
    • powershell -enco Base64文字列
    • powershell -e Base64文字列
  • 2019年11月
    • powershell -w hidden -enco Base64文字列
  • 2019年12月~2020年1月
    • powershell -w hidden -en Base64文字列
  • 2020年2月
    • PoWERsheLL -e Base64文字列
    • powersheLL -e Base64文字列

Base64文字列をデコードすると,実行されるスクリプトが確認できました(図8).図5のJavaScriptのコードに比べ,あまり難読化されておらず,比較的読みやすいスクリプトでした.

/posts/2020-01/emotet_powershell_obfuscation.png

図8.Base64デコード後,整形したPowershellスクリプト

Emotet のダウンロードに使用されるURLは,「@」や「*」で分割されます.各URLは,先頭から順に取り出され,NET.WebClient.DownloadFile メソッドを使用して Emotet がダウンロードされます.ダウンロードされた Emotet は,%USERPROFILE%\2~3桁の数字.exe として保存され,その後に実行されます.

Powershellのスクリプトは,変数名,URL,区切り文字などがスクリプト毎に少しずつ異なるものの,同じコードをベースに改変されていると考えられます.

Emotet 感染後の流れ

NICTER 解析チームでは,図3の doc ファイルを使って取得した検体5の解析を行いました.この解析には,STARDUST6 を使用し,そのログからC2サーバへの通信や横展開などの挙動を確認しています.我々が解析した Emotet の動作の流れを図9に示します.

/posts/2020-01/emotet_trickbot.png

図9. Emotet の動作の流れ

  1. Emotet メールの送信:
    doc ファイルの添付された不審メールがユーザに送信されます.
  2. コンテンツの有効化:
    doc ファイルを開くと「コンテンツの有効化」を促す文章が表示されます.「コンテンツの有効化」をクリックすると,VBA のマクロが実行され,Powershell が起動し,Emotet がダウンロードされます.
  3. Emotet/TrickBotのダウンロード:
    Emotet に感染すると,複数の C2 サーバに接続し,別のマルウェアがダウンロードされます.今回は,TrickBot とその拡張モジュールのダウンロードを確認しました.TrickBot は,Emotet の感染活動を支援するマルウェアとしてよく利用されます.
  4. ネットワーク構成やメールなどの情報収集:
    Emotet/TrickBot は,ipconfig,net などのコマンドを用いたネットワーク関連の情報収集や,Outlook からのメール・パスワードの窃取など,さまざまな手法で情報収集を行っていました.これらの動作は,The Cylance Threat Research Team による解析レポート7で言及されていた動作と同様でした.
  5. 収集した情報のアップロード:
    収集された情報は,定期的に C2 サーバにアップロードされます.
  6. 445/tcpポートのスキャンおよび横展開:
    TrickBot が 445/tcp ポートで感染ホストと同一セグメントのネットワーク全体にスキャンを行っていました.スキャン後には,AD サーバやファイルサーバへの横展開が行われました.
  7. Emotet メールの大量送信:
    一通り情報収集を行った後,Emotet が添付されたメールの大量送信を試みていました.Emotet に感染した端末は,Emotet メール送信の踏み台となる可能性があります.

以上のように,今回の解析では,TrickBotのダウンロード,情報窃取,横展開,Emotet メールの大量送信などを確認しました.

おわりに

本ブログでは,NICT に届いた Emotet メールについて,以下の3点を紹介しました.

  • Emotet メールの件名:
    「ドキュメント」や「助けて」のようなキーワードを含む多用型や,先頭に「Re:」がついた返信型が多く見られました.
  • doc ファイルの配信パターン:
    doc ファイルをメールに直接添付する「doc ファイル添付型メール」と, URL を介してダウンロードさせる「URL 記載型メール」の2種類がありました.
  • doc ファイル(Emotet ダウンローダ)の特徴:
    VBAのマクロが仕込まれており,マクロから JavaScript や Powershell を介して Emotet をダウンロードさせる機能を持っていました.

また,Emotet を STARDUST を用いて解析し,メールクライアントのパスワードの窃取,AD サーバやファイルサーバへの横展開,Emotet メールの大量送信などの挙動を確認しました.Emotet に感染した場合,同様の被害を受ける可能性があります.

付録

Emotetメールの件名

  • 2019年9月
    • Details - (個人名)
    • General Enquiry
    • List for
    • Mail 2019/09/20
    • Returned mail: see transcript for details
    • URGENT MESSAGE - (個人名)
  • 2019年10月
    • Application pack - (個人名)
    • Application pack for
    • Changing the details of the organization
    • Mail from (メールアドレス) 2019/10/15
    • Notice 2019/10/18
    • Payment Details
    • Re: Re: AW: Reservation Confirmation
    • URGENT MESSAGE for
    • データ 20191017
    • ドキュメント
    • メッセージを繰り返す
    • リマインダー
    • 一覧
    • 助けて (企業名)
    • 現在のバージョン
  • 2019年11月
    • Invoice for Service
    • RE: Re: Air Purifier & Aroma Diffuser
    • コメント
  • 2019年12月
    • Re: Air Purifier & Aroma Diffuser
    • Re: You might be interested in this supplier
    • Re: 【サポイン事業】第2回推進会議開催について :1月のご都合ご相談
    • Returned mail: see transcript for details
    • ■□■ 2019冬・業績賞与支給 ■□■ (ドメイン)
    • コメント 20191219
    • ドキュメント
    • 助けて
    • 情報
    • 払届
    • 支払請求書
    • 月賞与
    • 毎週の請求書
    • 請求書の件です。 970331_2019_12_04
    • 請求書の件です。 9775_20191202
    • 請求書送付のお願い 260-20191204
    • 請求書送付のお願い 72529_20191210
    • (件名なし)
    • (企業名)請求書
  • 2020年1月
    • 2019月賞与
    • RE: JapanGov投稿文案
    • Re: Re: Custom metal parts /CNC machined parts(Give you the best price)
    • データ
    • ドキュメント 20200122
    • メッセージ 20200123
    • 一覧 研究会受付
    • 会議開催通知
    • 助けて
    • 助けて (企業名)
    • 助けてください
    • 情報
    • 新バージョン
    • 新バージョン 研究会受付
    • 最後のオプション
    • 最後のオプション (個人名)
    • 請求書の件です。 006_20200114
    • 請求書の件です。 0095_2020_01_21
    • 請求書の件です。 808628-2020_01_29
    • 請求書送付のお願い 44803248-2020_01_16
    • (件名なし)
  • 2020年2月
    • RE: JapanGov投稿文案
    • Re: RE: JapanGov投稿文案
    • Re: You might be interested in this supplier
    • 各位
    • (件名なし)

添付ファイル名

  • 2019年9月
    • DETAILS 2019_09_20.doc
    • DOC-20190927-452.doc
    • DOCUMENT_2019_09_27.doc
    • NOTICE_2019_09_20_K196303.doc
    • report_20190925_0114.doc
  • 2019年10月
    • 1760625679.doc
    • 2629573233356426.doc
    • 7441-20191018.doc
    • BIZ_6953623237101.doc
    • BIZ_F137EYG1QP.doc
    • DATA TTV695.doc
    • DOC_6502C8CMJP_UA_10232019.doc
    • Documentation.doc
    • INC_735622681844_10172019.doc
    • Info 2019_10_11 B539952.doc
    • JP_94CNEXOTWVW8HP_RQX.doc
    • LLC_6400000692527.doc
    • MES_JHO824065.doc
    • Scan 20191015 613.doc
    • doc .doc
    • message_20191017.doc
  • 2019年11月
    • DOC.doc
    • R6Z4FZY6ZPG4I_X.doc
    • faktura_0003589.docx
    • invo 20191120.doc
  • 2019年12月
    • 20191220_20280161381.doc
    • 23495-20191218.doc
    • 344029-20191205.doc
    • 473531_20191218.doc
    • 508874-20191217.doc
    • 794956_20191205.doc
    • 797304-20191211.doc
    • 909 20191203.doc
    • 9702 20191219.doc
    • BL_27619843853_QV.doc
    • HE63CV_0970_121219.doc
    • IU680E_0992_121219.doc
    • Info-18_12_2019-277893.doc
    • Invoice-H425_27.doc
    • PEE27199053.doc
    • SLZJVN_8365_121219.doc
    • TO5167529 18-12-2019.doc
    • 請求書の件です。 970331-2019_12_04.doc
    • 請求書の件です。 9775_20191202.doc
    • 請求書送付のお願い 260_20191204.doc
    • 請求書送付のお願い 72529 20191210.doc
  • 2020年1月
    • 0236.doc
    • 7117_20200122.doc
    • DOC_1EM06XFZEON.doc
    • HF52423255 24-01-2020.doc
    • INV-99221.doc
    • INVOICE.doc
    • Inv 0867414778_1769.doc
    • Inv_160-56080278.doc
    • Invoice-656199.doc
    • UNTITLED 21267.doc
    • invoice_836442295_679305.doc
    • invoice_9797.doc
    • 会議開催通知.doc
    • 請求書の件です。 006 20200114.doc
    • 請求書の件です。 0095 2020_01_21.doc
    • 請求書の件です。 808628_2020_01_29.doc
    • 請求書送付のお願い 149_2020_01_24.doc
    • 請求書送付のお願い 44803248-2020_01_16.doc
  • 2020年12月
    • Form - Feb 07, 2020.rtf
    • Invoice 6LK67B-20.02.04.doc
    • Invoice N71ROZ-20.02.01.doc
    • 各位.doc

メール本文に記載されていたURL(doc ファイルのダウンロードリンク)

  • 2019年12月
    • hxxp[://]brysy[.]net/cgi-bin/jvwooqi-5ez-88823/
    • hxxp[://]ehbeat[.]com/wp-content/ine-bavcu4-5364/
    • hxxp[://]kvartura[.]vn[.]ua/wp-content/dsi2552-dxa-283604/
    • hxxp[://]www[.]billrothhospitals[.]com/wp-includes/27RnC-sGA9BB-67/
    • hxxp[://]fmlnz[.]com/wp-includes/XHyFI-Hv5egDRw-39/
    • hxxp[://]cdsolutions[.]co[.]uk/cgi-bin/6LZuRmvp-jo-642/
    • hxxp[://]genevagems[.]com/stats/FILE/kx514ox8/
  • 2020年1月
    • hxxp[://]shop[.]ketsaal[.]in/wp-admin/8761/opni71oll/tunwgbw-716-54427-02tod1qlhcj-jd8fzqlte/
    • hxxp[://]howcappadocia[.]com/App_Data/docs/
    • hxxps[://]xeduykhang[.]vn/wp-admin/LLC/v74tk1p8y8i/g4d-502916-88506791-07um3m-4jbsndwqq/
    • hxxps[://]members[.]maskeei[.]id/grbpc/invoice/ykz8mewwyh/
    • hxxp[://]qianhu[.]info/wp-content/6o-9cu97-781/
    • hxxps[://]speaklishworld[.]com/toibuxh6kg/lm/xpq5s5ij15/
    • hxxp[://]www[.]hbcncrepair[.]com/wp-admin/images/INC/vcaaa907b/
    • hxxps[://]grafikos[.]com[.]ar/Connections/FILE/
    • hxxp[://]globalmudra[.]com/INC/invoice/
    • hxxp[://]designartin[.]com/178154782751/attachments/82tt7po2idqk/
    • hxxp[://]flexistyle[.]com[.]pl/js/statement/dbyvnff8unaf/vgl-0001-19-0wdzj-m6ubpsdp/
    • hxxp[://]www[.]pratikforex[.]co[.]in/cgi-bin/ng-zmlh7-71741/
  • 2020年2月
    • hxxp[://]s545547853[.]mialojamiento[.]es/wp-admin/bqb-vi3e-7500/
    • hxxp[://]cicgroup[.]info/wp-includes/9k84spbr-2igj8-11/
    • hxxp[://]nmco[.]leseditextiles[.]co[.]za/wp-admin/kpot-3qg-561560/
    • hxxp[://]ski[.]net[.]id/wp-snapshots/h6vde8tx-nt56-241407/

docファイルの外観

  • パターン1(2019年9月20日のみ,2件)

    備考:

    • 2件ともJavaScriptが使用されていた.

    • 以下のメッセージウインドウが表示される.

      Not Supported File Format
      There was an error opening this document. The file damaged and could not be repaired (for example, it was sent as an email attachment and wasn’t correctly decoded).

    /posts/2020-01/doc_pattern_1.png

    図10.docファイルのパターン1

  • パターン2(2019年9月25日~2019年9月27日,3件)

    備考:
    JavaScriptが使用された場合のみ,以下のメッセージウインドウが表示される.

    Not Supported File Format
    There was an error opening this document. The file damaged and could not be repaired (for example, it was sent as an email attachment and wasn’t correctly decoded).

    /posts/2020-01/doc_pattern_2.png

    図11.docファイルのパターン2

  • パターン3(2019年10月10日~2019年10月23日,12件)

    /posts/2020-01/doc_pattern_3.png

    図12.docファイルのパターン3

  • パターン4(2019年10月11日~2019年12月11日,6件)

    /posts/2020-01/doc_pattern_4.png

    図13.docファイルのパターン4

  • パターン5(2019年11月18日~2020年2月7日,5件)

    備考:
    以下のメッセージウインドウを出す場合がある.

    Error Encountered
    Critical Error Encounterd

    /posts/2020-01/doc_pattern_5.png

    図14.docファイルのパターン5

  • パターン6 (2019年12月2日~2019年12月20日,18件)

    備考:
    以下のメッセージウインドウを出す場合がある.

    Error Encountered
    Critical Error Encounterd

    /posts/2020-01/doc_pattern_6.png

    図15.docファイルのパターン6

  • パターン7(2020年1月14日~2020年2月4日,19件)

    /posts/2020-01/doc_pattern_7.png

    図16.docファイルのパターン7

  • パターン8(2020年1月30日,1件のみ)

    備考:

    • パターン7 と非常によく似ているが,使用されている画像のサイズが異なる.
    • JavaScriptが使用されていた.
    /posts/2020-01/doc_pattern_8.png

    図17.docファイルのパターン8

Emotet ダウンローダのハッシュ値(SHA256)

  • 2019年9月
    • 3643f64d1633ebca53e1f94f6aba030cc495b68942b532afae9c74f8016d631f
    • 7855a4d6e5ec5a65888aa618774602070cfa30a8b07cd93520f79930d9c12982
    • 9b98c2d7271151e97cc4616461f0e742c280cd56d78eb975fae6851da9690b72
    • e1c6fc5d9a28fb89c4bee5ab846ad38bde6aa7fe5e313ec5528387cc3f9d4d31
    • ea189ff2f4e5009ff86fde8b424fe719aebc45d09e026f18e1a7c9bacceea7a7
  • 2019年10月
    • 000068fa7205bbe93b64e43598784637b8299a28c6b9bdd5e5f5b3c1fa80a3e7
    • 3076aef3a2d258852fe1757024999d3eb91b7916253d1b42f1a0d151e12c6426
    • 30d17bb79bf918cadb723eecd8624ad1ec4161d3daff2d3c81b1f0a483bf040e
    • 3f8c4f99b5139296ee691546709765e6d1dc7c4b29e97aa678c38263f8353756
    • 58c2d2539886d4e2351071b53544ba6c958448f9272af8c98a67c707f8693e7c
    • 5ce1858e7b2ac4c69873b60677c7a5c29d6887b661a8e425436999f3b3c17619
    • 6edb1c786c2f71dfc8b4c3313923030d5bf45e8cc5de13b8267984412a502229
    • 7597bfb8f61133b5d223527a1c18a7bf780095d8b77c87d6ab2615167fc952e8
    • 800ca7f564d9b05161cf176c00237af9822c506df59a2f259072e32faea71ca6
    • 8a8fd44cac4c2f735d806c3ad8eb5fc8396948e2867867928d26535cee94ee6d
    • a8b8eebd6b886a493b2d24adf7ead7776eb7ef7ff69748b6a1842846a189dbe0
    • b0d2214bf0b552407f235688c4112dd8f4374c1f6cd0050c67b2bba5d913260b
    • c1ce4f3d6dc00419af2805deb9a8e6bf93806850073f5596c1e9b0bc23088877
    • cc1db5024575a8856115f675c81b42276fb707814103dda5099db3395683521e
    • ec862738b4384e09c82e781d888ace2c8fff3cc6606bc71769b8b9925b41d32d
    • ef49149ca8e82f389d2360e20f3ab0c48a226b05617f14df30631bc10555f581
  • 2019年11月
    • 4c44d8f429a4b13b55508ec6f420ae33b776c6c9bc74595229afa03af1403d30
    • 65589089ddf5d99a533be21053f5909c66cfc32722e25341ddcad80f314a2baa
    • fe9e706d3e3178d6f8ff08805f196d282638aab5de7cf6bccd746eec1c107631
  • 2019年12月
    • 037c36452c694168c525e00c587cd3d8c2e4a6000d1f2d7eb9753e81bdba9f3c
    • 0533851ea1605039ad7a074e05a1020d131fc343cd65de41d04e273294956a68
    • 059b62153b10b5edb6c138f2155dfd71406d8575d5a527719b5909af7b0514ee
    • 1348fbec4e49be08125c0748c8d00fb0cedfb070e472063ffc5d93227fd87a18
    • 26ddbfff88242de3f141d0ff766358082f3b431485f773cea0a06e7c197441f5
    • 2b57c2471c93b641ee1e63596fe3fe67cf552c979325fc196942aae064b50004
    • 39d6070c471702b0e177a32bbc1fdfe7cc685d765bada04e24ba557d783f5096
    • 51a54622e05ccc0c76da3f53ee86a4b05603fda6d604a7916b58d264267b56c8
    • 576cd6c541d66e86ca46bbe7d0f16185a1bf5af7c45da50ab94b570a0558b6f9
    • 6ae2681698a934fff65cc6a882ff5f972569453e0368de4795732f52e9240346
    • 828396e27889be5eef4b7540eadd1f7d23fe88a48d95678b03e414509f0fa46e
    • a007277c947b4f3499381a4f084ff62b3c74b6be6964af0f3ac67404e5e80701
    • a485db8d352e9f365c684aa6c215967f216d12a6f2765eca69befbf3b6c17275
    • be99d531e972bae26aab6146d5bef7a6466a4f8ee1310b22d306f0163227d307
    • cec23781d074fea621f0f73645e0cd5f5ffcc2273894ee2997e7bbd1f0461580
    • d0d95c7ceb3a75b8569d3c51198dfc07d8a4b6a0587ebf735fb0d77dae71be09
    • d19458049a137e1bfcd3f580aeef39686b6e1ea204dbf4f4a3abf79bcde08016
    • d6bdb73271a15f338dba6b97db9f5218eadc1553e8e7f1db98c329b4f42cac29
    • dcfa6fb977ef85dade7b9cdc2245f749f21fb30f8efa299a77befa24387a462b
    • de435a985c5b7de6e73f9a456b54231364b5c3a00ec04a35316f3c44d43a33a5
    • df47642f75d7d0394e70b0fefbec305afcacc8281a80c9fed97aa145488fe770
  • 2020年1月
    • 0733279f9a6eb64aa96af32a0ebf0669df9c3c3c3c3ff4525e6a716f2a1a91da
    • 0c899fbd963450fdf0d3d487fd91c0ef00e8c4191115d99d58a6b75476b06254
    • 121e83a2c63f9ce2c2f94cb041ed7690b6b75ddd5f7cfa1c23d290bd1bc9a051
    • 176e4fbc950cda5246509e29ba8eb7569546e14321c46955c9324ebc2ce8b0fd
    • 38ccb8bdd735bedbd38ca97b215de35665d01801fa102a75b747557ac7529dd5
    • 57540bfe4f8fe22bdf1814f04a617b2dd6628b07b235113fe6bec7bc82e860b3
    • 6fd1cae5cdb47e68f0126cad08a0d7f3e427bf5bf3e2d8dedb5b4f74674eee9a
    • 73da5cdf0f98ea4dbedb8219ddd051b4d7a04c9750fc4b1d6f9c8e4f9e218c53
    • 7b707a6442780d2c5f584d1e4c018af043ff830aa87e530017ffb31287a56faa
    • 8bb9a148ef9b523abdf16757bb898ac8c73f095a14e5e553f922d2781c74566d
    • 908a8445aed4b2ee68b6947998caa3dd891a5a7931cba22e26443d39988004a1
    • b9609c71279cabe0d79a00b560c1ee3f243c8f333308189926330dd1beee6aa1
    • c2274ebd52ca846edcf85f282578e5327008cc1decc72cc73b6078344dc76e77
    • c9b288f025cd8dd448fc3b9a7315b5f54fd97d274d7c3716334e92b10c22bad9
    • ceaeaf7f88120866ef4d5ba5c2bdacb8d4cbffa0f70e360bdff1768d57491153
    • ea3a0a223474592635d1fb7a0731dd28a96381ad2562e3e064f70e2d4830c39d
    • ea5b10fb0fb253a2d1f67122adc083ada11c4de99e9c407e286e8ba040c5448a
  • 2020年2月
    • 02f55988f95d388efd2da064560eb349eab243dfc8eb806273850d707d74cb07
    • 0c5e2d4ac205cfbd715b436c95e6441c245602df0329b46b39cefc625778cb71
    • 970df6100d8375af169bb259df2c7bb1ad641294e34ed57dc3ad02a38371b4c7
    • b374385ab275eefb6f738bacebe8d7a7b4116b15c68f0ccc8c4f688531ccae45

Emotet 実行ファイルのダウンロードリンク

  • 2019年9月
    • hxxp[://]hexistrading[.]com/apud/jhu1_0zumpiow-850762747/
    • hxxp[://]jacobsondevelopers[.]com/wp-content/o2umig8jw_2zv8sv3d-640031030/
    • hxxp[://]jiye[.]cn/wp-admin/nfMfdTfhp/
    • hxxp[://]jntytech[.]com/wp-includes/xobbi_re2u3rtp-349657/
    • hxxp[://]jslogo[.]cn/rlj7xe/wgyuo0_lkmp8b3k0-42/
    • hxxp[://]justforhalloween[.]com/calendar/pxzHArxKz/
    • hxxp[://]powaifinearts[.]org/photos/VyPpIVwx/
    • hxxp[://]staging[.]xdigitalstudio[.]com/dawnfotopulos/y9y795/
    • hxxp[://]www[.]blix[.]it/wp-admin/pallsz07x_6mh0fn19w-870/
    • hxxp[://]www[.]fbcgsarl[.]com/nofij3ksa/ce5pl_udmyp48qi-6369991/
    • hxxp[://]www[.]jeremyferreira[.]com/wp-admin/z8t6_bku6kzxj0i-08611/
    • hxxp[://]www[.]ns8080[.]com/wp-content/fncgo3g8r_gb7huoh-11321/
    • hxxp[://]www[.]pics4game[.]com/wp-includes/jxy9_21dr89iu0f-6967550093/
    • hxxps[://]dian[.]199530[.]com/gem52w/hKbYXfqiB/
    • hxxps[://]garagebean[.]com/ymti/n174/
    • hxxps[://]krusebilcenter[.]se/wp-content/ktn9f3fpk_9imlp3d-1179/
    • hxxps[://]sprucatia[.]info/calendar/ovz6bj1q_99cdbe-091/
    • hxxps[://]staging[.]icehousecorp[.]com/wp-content/pyte3/
    • hxxps[://]themodifiedzone[.]com/feedback/wtpgy009/
    • hxxps[://]www[.]lightnodemedia[.]com/wp-content/uploads/398/
  • 2019年10月
    • hxxp[://]1000atap[.]com/wp-content/uploads/0g7c_te6jjbmc-16/
    • hxxp[://]academia[.]sprint7[.]net/wp-content/OHKdMfYvu/
    • hxxp[://]afimangement[.]com/directions/ezvyt0/
    • hxxp[://]alukorwindowsystems[.]com/wp-content/xVD30oU6/
    • hxxp[://]bayhtml[.]com/wp-includes/3aqq/
    • hxxp[://]beauty-fullbox[.]com/35wl6i8jx/1h9y38/
    • hxxp[://]cert-center[.]ir/wp-content/9lwy4-zp25txg-12/
    • hxxp[://]gaspardetvalentine[.]fr/wp-includes/go9v14-d2ynk-011503/
    • hxxp[://]jommakandelivery[.]my/wordpress/zs2l63/
    • hxxp[://]kariyerrunway[.]com/multimedia/ulkvb08328/
    • hxxp[://]lagriffeduweb[.]com/clients/w9pw59/
    • hxxp[://]massivewebtech[.]com/sitemap/5reschy1892/
    • hxxp[://]mastersjarvis[.]com/7eds52/14/
    • hxxp[://]mayurpai[.]com/wp-admin/lb8232/
    • hxxp[://]mediaprecies[.]online/cgi-bin/58lt9/
    • hxxp[://]medienparadies[.]com/wp-content/bvAXLWZ/
    • hxxp[://]medienparadies[.]com/wp-content/nig6288/
    • hxxp[://]nyc[.]rekko[.]com/65r8ry/zmt61884/
    • hxxp[://]onickdoorsonline[.]com/wp-includes/g0uyt12/
    • hxxp[://]rachel-may[.]com/stats/qkn501182/
    • hxxp[://]www[.]bilisimnokta[.]com/cgi-bin/XNQfSeH/
    • hxxp[://]www[.]mscr[.]in/pomyo/8dpt-ok5r9-195/
    • hxxp[://]www[.]mutasinsaat[.]com/eski/cBndMGO/
    • hxxp[://]www[.]suraualkauthar[.]com/4qf0hn2/l24/
    • hxxp[://]www[.]vardancards[.]com/bu6oo37/48409/
    • hxxp[://]www[.]z360marketing[.]com/showaboutus/864-kc0-8854398393/
    • hxxps[://]barirahb[.]com/wp-content/kewm6p6/
    • hxxps[://]desertskyvacationrentals[.]com/thickbox/zbbbdi2/
    • hxxps[://]dprince[.]org/class[.]view/zkp/
    • hxxps[://]egyanpulse[.]com/wp-admin/i1nz_uata0335a-6/
    • hxxps[://]jkwardrobe[.]com/zvap/nh48k06442/
    • hxxps[://]luaviettours[.]com/wp-content/qk10566/
    • hxxps[://]potentagents[.]com/wp-includes/FuecVMOrV/
    • hxxps[://]rocketbagger[.]com/0iayq/7m39842/
    • hxxps[://]sarapatka[.]cz/wp-admin/VEgDVvi/
    • hxxps[://]shreebankebihari[.]com/wp-admin/kbq/
    • hxxps[://]space4promotions[.]com/assets/uploads/ahnxRGry/
    • hxxps[://]tongdogiare[.]com/ibkslqk1lf/fpmf1_wz3sr-875014067/
    • hxxps[://]traininginstituteahmedabad[.]com/wp-admin/ppl/
    • hxxps[://]trusttech-id[.]com/bigger[.]conf/D3v3Z3tc/
    • hxxps[://]vncservtec[.]000webhostapp[.]com/wp-admin/rccl/
    • hxxps[://]voiceacademyusa[.]com/85rs/85o9m6710/
    • hxxps[://]www[.]8hu[.]me/wp-includes/ihgyi-wmhzz3e-35993/
    • hxxps[://]www[.]rsaavedrawalker[.]com/themesl/l533/
    • hxxps[://]za-ha[.]com/test/g3h06/
  • 2019年11月
    • hxxp[://]ds-stoneroots[.]com/wp-content/cb72253/
    • hxxp[://]easytradeservices[.]com/notiwek3j/78rl-cd4uo-84463/
    • hxxp[://]letmein[.]vn/notiwek3j/kzwvxen-4y3t9jlk-9309833/
    • hxxp[://]new[.]bos-sg[.]com/wp-content/1QIA0/
    • hxxp[://]old[.]bigbom[.]com/wp-snapshots/installer/CkYwk/
    • hxxp[://]www[.]cleaningbusinessinstitute[.]com/wp-content/aehyc2whsw-48yhtl-207442/
    • hxxp[://]www[.]driver4me[.]be/wp-admin/4yvs1t9lml-ml52fsebev-840527/
    • hxxp[://]www[.]huda[.]ac[.]in/Backup/cxer1lky-s61-0470868504/
    • hxxp[://]www[.]quantums[.]technology/wp-content/uploads/60d0crm2/
    • hxxp[://]wwwhelper[.]com/comm/moneymakers/css/m53/
    • hxxps[://]germany[.]hadatha[.]net/cgi-bin/cvlpr/
    • hxxps[://]store[.]aca-apac[.]com/phpmyadmin/7zjjeh376351/
    • hxxps[://]swag[.]tunapanda[.]org/6t7k3/BFYOimHltB/
    • hxxps[://]topdoithuong[.]com/hcuv/yimn17/
    • hxxps[://]www[.]okaylatest[.]com/wp-content/52xcnq38038/
  • 2019年12月
    • hxxp[://]38seventeen[.]com/wp-content/eSKnzZS/
    • hxxp[://]abanti[.]mygifts[.]xyz/resources/u4et7xi3r-n6a4-65/
    • hxxp[://]abdullahsametcetin[.]com/wp-content/0xwkdipwl-fbe-520981/
    • hxxp[://]aminulnakla[.]com/test/ERmpCOhO/
    • hxxp[://]apolina[.]pl/engl/1tuh6ul-gakf89-994/
    • hxxp[://]astrametals[.]com/wp-content/SFtMqnWIS/
    • hxxp[://]botyenmach[.]net[.]vn/img/0675gy55/
    • hxxp[://]cantinhodosabor[.]com[.]br/site/1m6636/
    • hxxp[://]capitalcitycarwash[.]com/komldk65kd/7tz/
    • hxxp[://]compscischool[.]com/wp-content/8a1n/
    • hxxp[://]cpmeow[.]com/wp-admin/y74/
    • hxxp[://]dcacademy[.]designerscafe[.]in/wp-admin/XenSKgkZ/
    • hxxp[://]dmyourbusiness[.]com/print_orders/JUDxA8/
    • hxxp[://]entitygaming[.]in/images/8au539/
    • hxxp[://]especialistassm[.]com[.]mx/inoxl28kgldf/vk1vas2/
    • hxxp[://]fanaticaviation[.]com/cgi-bin/qtdf0b-nwz6-7819/
    • hxxp[://]gameandroidterbaik[.]com/wp-includes/CRESFCfh/
    • hxxp[://]gianphoisonghong[.]com/wp-includes/AUWxwq1V2s/
    • hxxp[://]gobabynames[.]com/dz6r/xytx7/
    • hxxp[://]guru-kripa[.]designerscafe[.]in/buscador/sef6nb-dnuy-871546209/
    • hxxp[://]guyanapress[.]net/htdocs/1vl1-gyxu-82/
    • hxxp[://]hyderabadcabrentals[.]com/financial/PagNwxEs/
    • hxxp[://]laroujou3[.]com/sdnd/ixn/
    • hxxp[://]liveloveexploreinspire[.]com/cgi-bin/g7iys4-m16vly-76701303/
    • hxxp[://]makkupaiyan[.]com/hoqizkwj4d/rze/
    • hxxp[://]morrell-stinson[.]com/wp-admin/m0r8m5h/
    • hxxp[://]music4one[.]org/uploads/bVHdQlydbS/
    • hxxp[://]nbnglobalhk[.]com/cgi-bin/s7bh4/
    • hxxp[://]nhomkinhthienbinh[.]com/cgi-bin/yW/
    • hxxp[://]richardciccarone[.]com/watixl/KbSXxlb/
    • hxxp[://]staging[.]jmarketing[.]agency/wp-includes/vb2ocjw0qh-y0rw-283565/
    • hxxp[://]subsiliodev1[.]com/nubilt[.]subsiliodev1[.]com/k90en2164/
    • hxxp[://]test[.]windsorheatingandair[.]com/wp-includes/r9lv-4teq5ff-8759846140/
    • hxxp[://]thanhviet[.]com[.]vn/search-results/zu83h-bds0tghnr-6792/
    • hxxp[://]vanity[.]sitecare[.]org/wp-content/uploads/oEKdTPv/
    • hxxp[://]vinthermoeller[.]dk/edge_includes/fFEEM/
    • hxxp[://]wallis[.]cz/pension/Xl5a/
    • hxxp[://]www[.]aslikalfa[.]com/wp-content_/cgc1i5o9169/
    • hxxp[://]www[.]emir-elbahr[.]com/wp-admin/css/1u8825/
    • hxxp[://]www[.]zhangboo[.]com/wp-admin/lwhcvV/
    • hxxps[://]adanzyeyapi[.]com/wp-includes/dD6121/
    • hxxps[://]bertrem[.]com/wp-admin/4O7Y3Mu7E/
    • hxxps[://]blog[.]digitalnicheagency[.]com/g1t0/vGlTnK/
    • hxxps[://]catliza[.]com/blog/6y56/
    • hxxps[://]devinduncan[.]com/wp-content/cd4h1z276/
    • hxxps[://]jbfacilitymanagement[.]net/wp-content/vrmfs6968/
    • hxxps[://]lilikhendarwati[.]com/wp-admin/JbdTQoQQ/
    • hxxps[://]nicespace[.]cn/notiwek3j/h34bfz/
    • hxxps[://]profileonline360[.]com/Search-Replace-DB-master/cxesii/
    • hxxps[://]re365[.]com/wp-content/uploads/0ui-snu7u-1593794/
    • hxxps[://]sc[.]kulong6[.]com/addons/easgx8/
    • hxxps[://]shourayinfotech[.]xyz/wp-admin/tm4csxd9/
    • hxxps[://]softecangola[.]net/wp-admin/CcUODF/
    • hxxps[://]styleofchicago[.]com/wp-includes/eup0395/
    • hxxps[://]thebestdeals[.]top/wp-includes/HakucNr/
    • hxxps[://]tongchengbao[.]com/wp-includes/mmm6z2/
    • hxxps[://]trexcars[.]com/wp-includes/pu4saw-35wwzbm4q4-4706/
    • hxxps[://]www[.]fiveabb[.]com/wp-includes/t97866u6t0-6fsav74-0100091248/
    • hxxps[://]www[.]franceschetta[.]it/wp-content/VtnUBShe/
    • hxxps[://]www[.]jackiejill[.]com/wp-includes/yiqr4r6a-dwt7s0u-26965878/
    • hxxps[://]www[.]jwtrubber[.]com/wp-content/73LYb/
    • hxxps[://]www[.]kinetikproje[.]com/wp-admin/693sw88/
    • hxxps[://]www[.]lernforex[.]com/wp-admin/D1P5WZSj/
    • hxxps[://]www[.]nakshadekho[.]com/cgi-bin/9p931s/
    • hxxps[://]www[.]ncafp[.]com/mail/34lMoLE1GY/
    • hxxps[://]www[.]singaporesexyescorts[.]com/wp-includes/zxq1HRCNZ/
    • hxxps[://]www[.]smartwebdns[.]net/_vti_bin/0QRGg70/
    • hxxps[://]www[.]spectaglobal[.]com/wp-admin/SELFt1969/
    • hxxps[://]www[.]technostoremm[.]com/COPYRIGHT/q2/
    • hxxps[://]yam-editor-hmg[.]doc88[.]com[.]br/wp-content/ijbva5b-sjue-644645498/
  • 2020年1月
    • hxxp[://]43[.]250[.]164[.]92/smartek/jEr584/
    • hxxp[://]47[.]93[.]96[.]145/cur/khzIPYZQP/
    • hxxp[://]94[.]191[.]92[.]139/wp-content/00b5-2s1-30968/
    • hxxp[://]accurateastrologys[.]com/wp-content/Itz9w25/
    • hxxp[://]alexbase[.]com/plugins/gqwgr/
    • hxxp[://]all-fly[.]info/bt/DFYPTYX/
    • hxxp[://]asemancard[.]com/oold/rihof/
    • hxxp[://]bassman1980-001-site5[.]gtempurl[.]com/799612/IIadxvvB/
    • hxxp[://]beta[.]theeyestyles[.]com/wp-admin/34sz2/
    • hxxp[://]blulinknetwork[.]com/wp-content/260shby-cdsu5t59-05/
    • hxxp[://]contactocontinuo[.]com/imagina/uzuX24726/
    • hxxp[://]descargatela[.]webcindario[.]com/wp-admin/PXstiz/
    • hxxp[://]devifoodgrains[.]com/bhdz/f6bnbu-p5mk50-933/
    • hxxp[://]duhochvc[.]com/function[.]art/oWgHfVtE/
    • hxxp[://]farsmix[.]com/wp-admin/xpk881/
    • hxxp[://]fdhk[.]net/plugins/8xshhk/
    • hxxp[://]ferrylegal[.]com/uploads/OIf3/
    • hxxp[://]humanhair[.]vn/wp-includes/vBmdKMH/
    • hxxp[://]icanpeds[.]com/modules/xhdo6h/
    • hxxp[://]iihttanzania[.]com/wp-admin/N8CWI/
    • hxxp[://]jfedemo[.]dubondinfotech[.]com/update/Pyk083185/
    • hxxp[://]jonesmemorialhomes[.]com/463cfd0d43fce8696f19b37cb78ea33c/HO178/
    • hxxp[://]kueproj[.]linuxpl[.]eu/pax3hdtv/7qj/
    • hxxp[://]lowryh2o[.]com/cli/VJor/
    • hxxp[://]luilao[.]com/yakattack/EmXdYs3Rf/
    • hxxp[://]mediclaim[.]odhavnidhi[.]org/css/Q4P529571/
    • hxxp[://]pmvraetsel[.]newsoftdemo[.]info/wp-admin/pyUl573/
    • hxxp[://]prkcaddtrainingcenter[.]com/wp-admin/AAQ385846/
    • hxxp[://]qisa[.]xyz/wp-content/39SH1083/
    • hxxp[://]rcsic[.]technocloudtech[.]com/jnzor/CeI/
    • hxxp[://]realizaweb[.]site/cgi-bin/AbeNM155769/
    • hxxp[://]rochun[.]org/error/7WJ1/
    • hxxp[://]s9[.]cl6[.]us/dl/k3g17-hfafxhrq-235897/
    • hxxp[://]salman[.]vetkare[.]com/dashboard/ccABOH4/
    • hxxp[://]senteum[.]com/wp-admin/CLj/
    • hxxp[://]siliquehair[.]com/saloon/guWvE535/
    • hxxp[://]sintrenalsantander[.]org/documentos/A7LpP/
    • hxxp[://]studiomap[.]kr/wp-includes/eGXDEMy/
    • hxxp[://]surjacorp[.]com/logs/ANA26829/
    • hxxp[://]theforexexpo[.]itradesoft[.]com/wp-includes/yp/
    • hxxp[://]thohun[.]org/wp-includes/sKHSYMjL/
    • hxxp[://]thuong[.]bidiworks[.]com/wp-content/q2TO1988/
    • hxxp[://]tkaystore[.]com/components/I5y/
    • hxxp[://]tourntreksolutions[.]com/wp/Ep705353/
    • hxxp[://]trilochan[.]org/wp-content/aOA8K5L/
    • hxxp[://]uglobalfinance[.]com/wp-includes/xxpNRHeCE/
    • hxxp[://]ukrhockey[.]info/wlzpwmd/qRVAes/
    • hxxp[://]upstart[.]ru[.]ac[.]za/87/TVYvWFb/
    • hxxp[://]verstka[.]website/wp-content/JSf8u/
    • hxxp[://]vinetechs[.]net/searchlabor/XA/
    • hxxp[://]vitamin-mineral[.]info/wp-admin/17934/
    • hxxp[://]w04[.]jujingdao[.]com/wp-admin/r8/
    • hxxp[://]wp[.]ewa-iot[.]com/plesk/w9v13py/
    • hxxp[://]wpprimebox[.]com/support/D03jG8Ic/
    • hxxp[://]www[.]astrologerpanchmukhijyotish[.]com/wp-includes/ucflLPxgy/
    • hxxp[://]www[.]blue-port[.]jp/x7d/EQqT4756/
    • hxxp[://]www[.]hondajazzclubindonesia[.]org/wp-content/HJnTOcOvw/
    • hxxp[://]www[.]icairjy[.]org/cgi-bin/WIeU/
    • hxxp[://]www[.]norcalit[.]in/norcalit/LnRrJLHdLX/
    • hxxp[://]www[.]oasineldeserto[.]info/mio/8ji5-gr4qnc20-78404477/
    • hxxp[://]www[.]oasineldeserto[.]info/mio/BwRux1dn/
    • hxxp[://]www[.]plsurgicals[.]com/wp/i3scs-2lv-03535841/
    • hxxp[://]www[.]shaagon[.]com/wp-admin/sYj84543/
    • hxxp[://]yakuplucilingir[.]com/wp-admin/By53/
    • hxxp[://]ziyinshedege[.]com/wp-content/TIGc/
    • hxxps[://]a1college[.]ca/zcrb/j1yx-p79ioxyb-7243625072/
    • hxxps[://]basepresupuestos[.]com/fonts/aq/
    • hxxps[://]bharathvision[.]in/yckcj/ij5xm-ocjs73v-4472595/
    • hxxps[://]bncc[.]ac[.]th/wp/wp-admin/UPoKJl/
    • hxxps[://]camraiz[.]com/wp-admin/GIrEDD/
    • hxxps[://]chasem2020[.]com/0589072/iMaKKrcbL/
    • hxxps[://]clcindy[.]com/wp-content/ijsnjdmyew-u8csa-3686522342/
    • hxxps[://]codeproof[.]com/blog/wp-content/plugins/delete-all-comments/atb7T7123/
    • hxxps[://]cornwallhospice[.]com/pp3m3brilr/xhSPvz/
    • hxxps[://]drrobertepstein[.]com/music/7yb5TCo/
    • hxxps[://]engineer[.]emilee[.]jp/wp-admin/7kuoc3w-9mirtinc5h-4895988359/
    • hxxps[://]khanhbuiads[.]com/wp-includes/XVq/
    • hxxps[://]lifebrate[.]com/9jjsf/g50o/
    • hxxps[://]securiteordi[.]com/wofk253jeksed/QO485/
    • hxxps[://]vexacom[.]com/wp-content/00zut8ttb/
    • hxxps[://]wieland-juettner[.]de/tmp/wTYnLQCN/
    • hxxps[://]www[.]expertencall[.]com/pts_bilderupload/plKooJuF/
    • hxxps[://]www[.]jigsaw[.]watch/d3mged4g/ud5-dl1qkgvdx-290694387/
    • hxxps[://]www[.]vendameucarroo[.]com/bor/IftZ5/
    • hxxps[://]zhangyiyi[.]xyz/wp-content/jrERty/
  • 2020年2月
    • hxxp[://]bolehprediksi[.]com/wp-includes/ifrEFSqSw/
    • hxxp[://]calabughi-demo[.]holodemo[.]it/wp-admin/lc4cl-46eg7upc-572/
    • hxxp[://]fastacompany[.]com/wp-includes/IErV82C/
    • hxxp[://]finerbook[.]com/wp-admin/H2897/
    • hxxp[://]foto-periodismo[.]com/wp-content/WmK574/
    • hxxp[://]funatsu[.]biz/wp/RMEE429803/
    • hxxp[://]gadgetgi[.]com/wp-admin/bEd7912/
    • hxxp[://]khomaynhomnhua[.]vn/dup-installer/tyl31xi-nmfh-643542/
    • hxxp[://]littlegreenwheel[.]com/wp-admin/20pav0-957-1402700868/
    • hxxp[://]ornadh[.]com/wp-admin/ffxqi31w-ztb6-3570648/
    • hxxps[://]9jabliss[.]com/oirxio/nwkddr/
    • hxxps[://]fa[.]khanneshinhotel[.]ir/wp-content/4t1l-arjubdm39c-2426433731/
    • hxxps[://]how-to-tech[.]com/wp-admin/2e3-mgvmd-20/
    • hxxps[://]luislar68[.]000webhostapp[.]com/wp-admin/6xr5u-1xog-29595/
    • hxxps[://]rawdahtrust[.]org/rprlq/sxttm-hugpwh1-171/
    • hxxps[://]ucakkargo[.]app/dup-installer/7l4l-r71wla-6892/
    • hxxp[://]tryotium[.]com/oeiwosk36j3ss/fkwun-jpagzy-3225/
    • hxxp[://]www[.]designindia[.]live/js/ycCKqHl/
    • hxxp[://]www[.]hair2mpress[.]com/oeiwosk36j3ss/wtuds/vedMDhc/
    • hxxp[://]www[.]worldnoticiasonline[.]com/wp-content/uploads/vvhaa000vj-mq98v-19988518/

更新履歴

  • 2020年3月2日 初版
  • 2020年3月3日 誤記の訂正
    (誤: 独立行政法人情報推進機構,正: 独立行政法人情報処理推進機構)
  • 2020年4月2日 付録の追記
    追記項目: メール本文に記載されていたURL(doc ファイルのダウンロードリンク)

  1. 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構 ↩︎

  2. マルウエア Emotet の感染に関する注意喚起 ↩︎

  3. マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ ↩︎

  4. Emotet back in action after short break ↩︎

  5. 解析に使用した検体のハッシュ値(SHA256: 6e5e178a7c334e93497e5de41b142ff320240a4b57981bbf3c4985eed0ee8a9f) ↩︎

  6. サイバー攻撃誘引基盤"STARDUST"を開発 ↩︎

  7. Threat Spotlight: TrickBot Infostealer Malware ↩︎