NICTに届いたEmotetへの感染を狙ったメール（2021年12月～2022年2月）

はじめに

2021年11月中旬以降，日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており，独立行政法人情報処理推進機構（IPA）や一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が Emotet の活動再開に関する注意^{1 2} を呼びかけています． 本ブログでは，2021年12月から2022年2月にかけて，我々が観測した Emotet への感染を狙ったメール（以降，Emotet メール）ついて分析した結果を紹介します．

(2022年3月4日)
2022年3月1日から現時点で既に 2月の件数を越える量の Emotet メールを確認しています．本ブログに記載している特徴から変化している場合がありますので，ご注意ください．

概要

• NICT を標的とする事例を確認:
  NICT には345件の Emotet メールが届きました．全てのメールの件名または署名に，NICT の職員名や過去の取引先組織の情報が記載されていました．このうち，322件のメールが日本のワーキングタイム（平日の9時～18時頃）に配信されていました．
• 添付ファイルの新しい配信パターンを確認:
  zip ファイル添付型が最も多く届いており，329件のメールを確認しました．zip の中身はほとんどが xls または xlsm ファイルで，xls や xlsm のみが添付された事例も観測しました．
• Emotet 本体をダウンロードする新しい手法を確認:
  1. XLM4.0を用いてDLLをダウンロードする手法（12/7以降に観測）
  2. mshtaを介してPowerShellを実行する手法（1/28以降に観測）
  3. wscriptからcmd経由でPowerShellを実行する手法（2/3以降に観測）

Emotet への感染を狙ったメールの特徴

NICT には，2021年12月2日から2022年2月28日にかけて，345件の Emotet メールが届きました（図1）．

Emotet メールが届いた時期には，図1のような傾向が見られました．特に，2月3日から9日はメールが集中的に届いた時期であり，160件のメールを観測しました．これらの Emotet メールについて調査したところ，攻撃者が NICT の職員や過去の取引先組織を装って，NICT 職員の個人メールアドレスを標的としていました．

また，メールは配信と休止を繰り返しており，12月3日から6日，12月8日から1月17日，1月19日から27日，1月29日から2月2日，2月14日から22日の期間は，メールの配信がなく休止していました．メールの配信が再開した時期には，メールの配信パターンに変化が見られました．こちらについては，Emotet ダウンローダの配信パターンで後述します．

NICT に届いた Emotet メールについて，以下の4つの観点で特徴をまとめました．前回の記事³と併せてご参照ください．

• Emotet メールの件名
• Emotet メールの配信時間帯
• Emotet ダウンローダの配信パターン
• Emotet ダウンローダの特徴

それぞれの項目について，次節以降で紹介します．

Emotet メールの件名

Emotet メールの件名に使用されている言語には，英語と日本語の2種類を確認しました．Emotet メールに使用された件名を表1に示します．

表1では，Emotet メールの件名を返信型，多用型の2種類に分類しました．

• 返信型:
  件名に「Re:」や「Fwd:」が付いた件名を返信型として分類しました．多用型と違い，業務を連想させるような件名も確認しています．メールの文面が返信を装った事例には，いずれも返信型の件名を確認しています．
• 多用型:
  ばらまき型メールで使い回された件名を多用型として分類しました．件名のパターンは少なく，「（無題）」または「NICT の職員名」の2種類のみ確認しています．返信型と異なり，メールの文面に返信を装った部分や業務に関する内容は確認されませんでした．

Emotet メールの配信時間帯

Emotet メールの配信時間帯には，図2のような傾向が見られました．

図2では，345件の Emotet メールのうち，322件が9時から18時にかけて配信されていました．配信日も平日に集中しており，日本のワーキングタイムを狙ったような配信傾向は以前の Emotet メールでは観測されなかった特徴です．

Emotet ダウンローダの配信パターン

Emotet ダウンローダの配信パターンには，以下の4種類がありました．zip ファイル添付型メール，URL 記載型メールについては前回の記事³で解説しているので，そちらをご参照ください．

• zip ファイル添付型メール:

  • メールに zip ファイルが添付されているもの
  • zip ファイルには doc または xls ファイルが格納されている
  • 観測時期: 2021年12月2日から
  • メールの件数: 329件

• xlsm ファイル添付型メール:

  • メールに xlsm ファイルが添付されているもの
  • 観測時期: 2021年12月7日から
  • メールの件数: 10件

• URL 記載型メール:

  • メール本文に xls ファイルのダウンロードリンクが記載されているもの
  • 観測時期: 2022年1月18日のみ
  • メールの件数: 1件

• xls ファイル添付型メール:

  • メールに xls ファイルが添付されているもの
  • 観測時期: 2022年2月4日から
  • メールの件数: 5件

本節では，新たに観測された zip ファイル添付型メール（xlsを格納したタイプ），xlsm ファイル添付型メール，xls ファイル添付型メールの3点について紹介します．

zip ファイル添付型メールの特徴

図3に，2022年2月9日に NICT に届いた zip ファイル添付型メールを示します．

図3のメールは，実在する組織のメールアドレスを利用して，NICT の職員のメールアドレスに送信されました．送信者を過去の取引先組織に詐称し，メール本文には，簡素な文章と zip ファイルの解凍用パスワード，送信者の署名，返信を装った内容が記載されていました．また，署名については，詐称された取引先組織の職員の情報が使われていました．

メール本文のパスワードで zip ファイルを解凍すると，図4の xls ファイル（SHA-256：9c62600a0885e39bd39748150b9b64155c9ea2dbbcdd43241eb24c8e098de782）が格納されていました．

xls ファイルを開くと，以下のような「コンテンツの有効化」を促す文章が書かれていました．

If you are opening the attached file with Excel and you see a Protected view warning， then no document content will be displayed until editing and content are enabled.

以前の zip ファイル添付型メールと比較して，新たに xls ファイルを格納した事例や，メール本文に実在する組織の署名が使われている事例を多数確認しています．

xlsm ファイル添付型メールの特徴

図5に，2021年12月7日に NICT に届いた xlsm ファイル添付型メールを示します．

図5のメールは，実在する組織のメールアドレスを利用して，NICT のメーリングリストに送信されました．送信者を実在する国内組織（送信元アドレスと無関係）に詐称し，メール本文には，添付ファイルの確認を促す簡素な文章と詐称された国内組織の署名が記載されていました．また，メールの件名に「RE:」が含まれていましたが，返信を装った内容はなく，ばらまき型の Emotet メールとなっていました．このメールには，図6の xlsm ファイル（SHA-256：8c9dd1e63a57a6c1ced39fa5d620831f18ef989a0618ae9cbdbc423db062686c）が添付されていました．

xlsm ファイルを開くと，図4と同様に「コンテンツの有効化」を促す文章が書かれていました．

THIS DOCUMENT IS ONLY AVAILABLE FOR DESKTOP OR LAPTOP VERSIONS OF MICROSOFT OFFICE EXCEL. Open the document in Microsoft Office. Previewing online is not available for protected documents. CLICK “ENABLE EDITING” FROM YELLOW BAR ABOVE Once you have enabled editing, please click “Enable Content” button

2月23日からは，前述の zip に xlsm ファイルが格納された事例も確認しています．

xls ファイル添付型メールの特徴

図7に，2022年2月4日に NICT に届いた xls ファイル添付型メールを示します．

図7のメールは，実在する国内組織のメールアドレスを利用して，NICT のメーリングリストに送信されました．送信者を NICT 職員に詐称し，メール本文には，添付ファイルの確認を促す簡素な文章と NICT 職員の署名，返信を装った内容が記載されていました．このメールには，図6と同じ見た目の xls ファイルが添付されていました．

Emotet ダウンローダの特徴

Emotet メールに添付されていたファイルは，全部で67種類ありました．添付ファイルを開いた際に表示されるドキュメントの外観を分類すると，3つのパターンがありました．確認した添付ファイルの外観は，付録 に記載しています．

本節では，上記の添付ファイルについて，前回の観測³で見られなかった特徴を紹介します．

時系列で整理した Emotet メールの特徴について

NICT に届いた Emotet メールの特徴を時系列で表2に整理しました．

時系列で見ると，配信と休止を繰り返しながら，添付ファイルや感染手法など様々な特徴が追加されていました．特に，2月に入ってからは，特定の NICT の職員を狙った zip ファイル添付型の増加も見られ，業務に関する返信を装った Emotet メールが観測されました．

以前の Emotet メール³と比較すると，doc ファイルではなく xls や xlsm ファイルが扱われるようになり，件数こそ少ないものの，日本のワーキングタイム（平日の9時～18時頃）を狙って配信されていました．特に特徴的だった3つの感染手法について次節以降で紹介します．

• XLM4.0 のみを使用する検体
• XLM4.0/JavaScript/VBScript/PowerShell を使用する検体
• VBA/VBScript/PowerShell を使用する検体

XLM4.0 のみを使用する検体

2021年12月7日に初めて確認した XLM4.0 のみを使用する検体について紹介します．まずは，Emotet ダウンローダ実行時のプロセスツリーを図8に示します．

図8 のプロセスツリーから，EXCEL.EXE と rundll32.exe のみが実行されていることが分かります．Excel ファイルについて確認すると，図9 のように非表示シートが用意されており，そのシート中に XLM4.0 マクロが挿入されていました．シートを再表示にした後，「=」で検索すると，図10のように挿入されているマクロが確認できます．

また，これらのマクロは，XLMMacroDeobfuscator⁴ で簡単に抽出することもできます．抽出結果を図11に示します．

上記のマクロを確認すると，URLDownloadToFileA を用いて，以下の3つの URL のいずれかから DLL をダウンロードしています．

• hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/
• hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/
• hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/

最後に rundll32 を用いて，ダウンロードした DLL を実行することで，Emotet に感染します．また，2月23日頃から同様の手法ですが，最後に regsvr32 を使用して DLL を実行する検体を確認しています．

XLM4.0/JavaScript/VBScript/PowerShell を使用する検体

2022年1月18日に初めて確認した XLM4.0/JavaScript/VBScript/PowerShell を使用する検体について紹介します．まずは，Emotet ダウンローダ実行時のプロセスツリーを図12 に示します．

前節と異なり，CMD.EXE，mshta.exe，powershell.exe が実行されていることが分かります．Excel ファイルは，図13 のように前節よりシンプルで，mshta を用いて，外部のファイル（hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html）にアクセスする実装でした．

hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html をダウンロードしてブラウザで確認すると，図14 のようなメッセージが書かれていました．

また，このファイルには，図15 のように unescape や eval などを用いて難読化された JavaScript が埋め込まれていました．

このスクリプトを実行すると，最終的に図16のような script タグが末尾付近に挿入されます．これは，VBScript で書かれており，WScript.Shell を用いて，PowerShell を起動するような実装でした．

上記の VBScript によって実行される PowerShell スクリプトを図17に示します．

このスクリプトの難読化を解いて整形すると，図18のようになります．

外部からファイル（hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]png）をダウンロードし，PowerShell スクリプトとして実行されます．実際に実行されるスクリプトを図19に示します．

このスクリプトは，以下の 12 個の URL のいずれかから DLL をダウンロードします．

• hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/
• hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/
• hxxp[://]it-o[.]biz/bitrix/xoDdDe/
• hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/
• hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/
• hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/
• hxxps[://]property-eg[.]com/mlzkir/97v/
• hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/
• hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/
• hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/
• hxxp[://]activetraining[.]sytes[.]net/libraries/8s/
• hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/

最後に，rundll32 を用いてダウンロードした DLL を実行することで，Emotet に感染します．

VBA/VBScript/PowerShell を使用する検体

このタイプの Emotet ダウンローダは，2022年2月3日に初めて確認しました．まずは，Emotet ダウンローダ実行時のプロセスツリーを図20 に示します．

前節と異なり，wscript.exe から powershell.exe や rundll32.exe が実行されていることが分かります．また，Excel ファイルも前節と異なり，XLM4.0 ではなく，VBA が使用されていました．図21 のように VBAProject は，パスワードでロックされていますが，EvilClippy⁵ で解除することができます．

VBA マクロが実行されると，C:\ProgramData ディレクトリ配下に 図22，図23 の2 種類のファイルが生成されます．

各ファイル生成後に WScript で C:\ProgramData\wetidjks.vbs が実行されます（図24）．

VBA で生成される2つのファイルの難読化を解いて整形すると，図25，図26のようになります．

まず，wetidjks.vbs により，jledshf.bat が実行され，PowerShell スクリプトが実行されます．図27 に難読化を解いて整形した PowerShell スクリプトを示します．

このスクリプトは，以下の12個の URL のいずれかから DLL をダウンロードします．

• hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/
• hxxp[://]sbcopylive[.]com[.]br/rjuz/w/
• hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/
• hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/
• hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/
• hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/
• hxxps[://]pardiskood[.]com/wp-content/NR/
• hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/
• hxxps[://]datasits[.]com/wp-includes/Zkj4QO/
• hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/
• hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/
• hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/

最後に wetidjks.vbs の処理により，PowerShell でダウンロードされた DLL が rundll32 で実行され，Emotet に感染します．

まとめ

本ブログでは，NICT に届いた Emotet メールについて，以下の3点を紹介しました．

• NICT を標的とした配信:
  「Re:」や「Fwd:」，「NICT 職員の氏名」が扱われた件名が多く，NICT の職員や過去の取引先組織を装って配信されていました．また，殆どのメールが日本のワーキングタイム（平日の9時～18時頃）に集中していました．
• Emotet ダウンローダの配信パターン:
  Excel ファイルをメールに添付する xlsm ファイル添付型や xls ファイル添付型が新たに確認されました．zip ファイル添付型については，doc ファイルではなく xls や xlsm ファイルを格納している事例を確認しています．
• Emotet ダウンローダの特徴:
  Emotet 本体のダウンロード用マクロには XLM4.0，mshta，wscript が使われており，難読化や通信先の増加など新たな特徴が確認されました．

他にも，以前の観測では見られなかった特徴として，新たな添付ファイルの外観を2種類確認しました．2022年2月以降，NICT では Emotet メールの増加を確認しており，セキュリティベンダのブログ^{6 7}でも国内を狙った攻撃が報告されています．NICT では，本ブログのような傾向で Emotet を観測しており，Emotet の分析や傾向の把握，注意喚起，Emotet の通信先の遮断に役立てています．メールや添付ファイルの特徴は今後も変わっていく可能性があるため，我々は引き続き動向を観測していきます．

付録

添付ファイル名

• 2021年12月：3種類

  • jom-日付（mmdd）.zip
  • jom-日付（mmdd）.doc
  • DOCUMENT 5.xlsm

• 2022年1月：2種類

  • 英数字の文字列.zip
  • 英数字の文字列.xls

• 2022年2月：12種類

  • 英数字の文字列.zip
  • 英数字の文字列.xls
  • 日付（yyyy-mm-dd_hh:mm）.zip
  • 日付（yyyy-mm-dd_hh:mm）.xls
  • form.zip
  • form.xls
  • NU-4626 report.xls
  • PXI-010222 XXJF-040222.zip
  • PXI-010222 XXJF-040222.xls
  • Report.xls
  • report 02 23 2022.xls
  • YZ-2793 report.xls

添付ファイルの外観：3種類

• パターン1（2021年12月2日～）

• パターン2（2021年12月7日～）

• パターン3（2022年2月9日～）

Emotet ダウンローダのハッシュ値（MD5）

• 2021年12月：2種類

  6d8e23934c72dbc48017a816594ce307
    8f48e6209f4596de4c0c4bd896c5ab55

• 2022年1月：1種類

  10e94dbe911f43b590ee04fc025d3e75
    

• 2022年2月：128種類

  00e205a81bbd8924ed4704f1a6b7d950
    023df726de12283edbb9bf03117fb442
    02447345bc4538a4d5eeb2bd896a183d
    078b6f8a32e762e0a98a7e9c45bd2947
    07b1cd7428b8de5f82ca6f3848ebfaf2
    08c7639d5f453160199e5dad8710a861
    09d3a68b8db86cdfb6913fe95d29558e
    0aa7668f75b4a7ed142db39be937063c
    0ad570941fc5cf7aa54d542b5b7feaa0
    0bc5f9cf4a4537b9b739564c26bb3a11
    0d5b50d012a9bf86db7e69b1695d3fe9
    169bf191cee0aecb80ec4e4e9c290787
    1a18755a99d4b822aebba6f14f6f1df4
    1a2b8e8694c0d91cc88dffabf19312e5
    1a8cf71394868da22b830d4d8101e706
    1bc20d441fd1e83087b10d9cf8bcacec
    1e3d14414410e6a0a314f899c6772a20
    203bf078f82f4d423d3fee3323891d83
    210f90fc5399159d32a242d506021a6e
    254ce017c9c2982ba289c866a944adb3
    255e92fdbd7aa0ec851490723b5e90e2
    25a3c2256812f7edc20155ab99104f59
    26444b2dee6eaa81eac47a3356af71dd
    26a2ec709aaabf949ef1d637c9371c48
    2b229f1d8cc2b4e514e1cd6aa74296b7
    2e26c98a6ed4b2838d896749021b1e09
    370cd5610472f571ff75cfae568defb9
    3b77d03803d739a50f043496d57941a8
    3baf7aa6309bfd46f6bc6308db8b6c50
    42b84cb0b9766febad3de8d25703dde3
    47af62ea6f19843fa3a6aa823f0920a2
    49b6ddbd9c7322acaa92d947db70bf51
    4c96f70b5916411e8874171d5e3360d3
    4ca173bedc4fc060d034ec45f3dda873
    4cc5ac1b2f3f66671cd15d23f5f8cf31
    511f8a768b1dcde446c40e009ec5619a
    53d0a9e27239c457675a0e72e6a2370b
    54a1fa13b8b32f3794394aa11b7866d2
    551d4fced29c70be4e1b453f643ac8cd
    5c10f41fde57e8c2811f5903846f0997
    5e07d79cfc4ad2e844b8cd18b5ef6e79
    5efe43f4fd5f25df432926f99a5fc415
    6027d3fa1e7cbee435fa7a3455589d2c
    612534e55a3e9d2078fe485c33ea0e72
    69e50f00dfd3eaf44fe8aa12856c65aa
    6bf70a6aea414045073ee484d36d07ae
    6c8d54be16b1634fbf051994b0f78944
    6e98dd5ebb820ccdae9df21313b76624
    721c1e3f3a7456dce007304b916a53cb
    73e942ab08570edbe1b8d8cbf7d145f5
    773d8e0c1096499ed0c0aec18bdecab5
    78ee5efc7e2438db2c4950f5bba64335
    798a723780cdefa2e93c6705924c9f8c
    7b13abf8fbe60ae155fc348a1ebcc8f2
    7f6dbe11e42c6f71099c3ddca60ca0ca
    7f7e44f7f62a2903c7866ec053371d97
    80eb486b4b3f33a03932ccb0992b68f3
    864e2c9eba94363c03cd1f5dca7d1cd4
    87b6478e28cfd849f574412491816574
    89f7cfd0168d3360f1a13291c7b63da3
    8c8e022f7ad738b47b4e44c226abd6cd
    8fc59bbf80df6a8c65d191d36968888f
    8ffe4f117186a82aa4299faf4120cb4a
    909d33a948a9f4350b943809c55b45c7
    9136bd84296838f78a8d76d09db70ca3
    913a142eb16a99f068a0ab1f26707b31
    91f00a1b9604fe6a56a3e2d560ed6f82
    9262a97db661cb6f7f86ee606c9be042
    934d0520484541a7f0b3a9172112180c
    93b53be7c82684335dd9d5c8736fed80
    93f9be36cbf0176001f18ca9d242a851
    95a48bbf83a01a754f6671dcddf55f6d
    9622445736cbdb2220e53d3d0b422a03
    98739d4a0a282e1a91aea7b0fb72ad4f
    9ebfbff4728fc024851edee35bb112a7
    a0a52481798f12ef987c25dceb40153c
    a1e91a9221d6ef75a12a5f63ae159784
    a284aa2f01051f78e8434e23ff06092f
    a316f9a4aec8bd88dc596b27f181544d
    a5052fd380f715b2388cebc2e6f9328e
    a830dcb4d20938ac91ba235c526b9ad1
    a84aeb5219b3cd81065911ecf2cae30c
    a99eb9a5a6419b27ee05e5be68f64d66
    aa2120f2e5b6f649ccb006b9bc1be2fe
    aa265aacd88fa850d7faf761f1c1e200
    aab1caa1875f8c81f0fc847c8c16a525
    ab7f592c0cd15ba7f3e1497a2f3d79a9
    ae8249c24ccb0a38cd444928e0d12488
    b150ae747936696d3adb30923448ca5c
    b483c910c5dd3f60c978697448db295f
    b7dfae799012fd46cf7c76173207f002
    bafe79eff6e6b4024b8aa1972e91e1b2
    bd2121f2abc4e929dd8924d42952eb40
    bda0c651e003fa762cb4963ad8ef25c1
    c3eb5c8dc1c709e045ef341aa8be9b33
    c414f8df59ae5349fec0ba436a840269
    c475730d0c8cea817400573e71923905
    c52a3a5504db37aad112e3ba7d4c4815
    c78f213b18d6ad42d058d33afe95d23a
    c7c0b6c2f9c2cad477b4e603a41f8a67
    ca2eb30f1a2d03d5623d4e8526be7ff8
    cb1e26e6446cb647ac34af336799d261
    ccb98f4d093e527c43f0130462658c73
    cdd83e0f08d1c26b2963ba8fac143ae8
    d081ae40c892ee33346b1e13cf816daf
    d83cd825d0e22683f6806b3d8d706816
    dbea7ece5b95759bf93cade7ef99d6f5
    dc9371bc01a0f194b2b0ae065d4bae24
    ddfc5396bf08500adf2062323b5fdaea
    e2aa9baf25683ecf217e3544ed8abd59
    e356ae805df158eb3846fd217e6a39a6
    e8f75114cc17f0b94381b1d7cee00131
    e98d513ad99ae5ca200fa7af7ba40854
    ea3d098f302a65aa55ed79cd517034f4
    ed36ceeaa01155abcc48d17d09b2fa2c
    eeeb23222ac7d1d08cc96048c24e5ef9
    ef2ee187425f057bd8c88fe300618bd7
    f0b0fd5cd4a9a1334e8bee3e1e436eae
    f1b97c48b8066eba9c8120d890525f55
    f32a95a228f9b9ceb8e556d60da3030a
    f43c8e9a5db5c9b3071957b9e4c87736
    f91da2dbfb731e8aed5528f6c75d2266
    fa595e4ff12c589c57ec6df27267d4a4
    fb932877d6efb6e0da29eac833527bbf
    fc46051a0113d6c40e8249fc9ec14940
    fda4ca230274a05fe204e821450dcdab
    fe87807ccf15011dcf1e788a8ef40b9e
    fff8a44e6fc5f977ba0196534ce4263d

Emotet ダウンローダの通信先 URL

• 2021年12月：10種類

  hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/
    hxxp[://]chauvettheatre[.]com/wp-includes/nm55qK7wCxKBRLM/
    hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/
    hxxp[://]veletrgovina[.]net/_Include/449XbSn6C/
    hxxp[://]www[.]hyperz[.]top/wp-admin/includes/MZxGPP9KUXc3T8mp/
    hxxps[://]a[.]sjmall[.]top/begv/XH2SMEMvHBTDUzH8IuehbWW/
    hxxps[://]chinchincargo[.]com/wp-admin/GhmjcEnREnnUpBLEaAdtz/
    hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/
    hxxps[://]kiemtientugame[.]com/images/yBBNzwalwxZWA6kY6wXIXYp/
    hxxps[://]nlmwebdev[.]com/threeaminos/wp-content/NrvRJjRU/
    

• 2022年1月：12種類

  hxxp[://]activetraining[.]sytes[.]net/libraries/8s/
    hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/
    hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/
    hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/
    hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/
    hxxp[://]it-o[.]biz/bitrix/xoDdDe/
    hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/
    hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/
    hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/
    hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/
    hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/
    hxxps[://]property-eg[.]com/mlzkir/97v/
    

• 2022年2月：113種類

  hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/
    hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/dU8Ds/
    hxxp[://]albatrospatagonia[.]com/phkcvt/t53ceSMDqgPQlq/
    hxxp[://]annefront[.]com/eln-images/gANlH/
    hxxp[://]appyhorsey[.]com/FeedBack/adJcH8XSC66hKK/
    hxxp[://]balden[.]com/eln-images/O9xRZhm47Bt50Q/
    hxxp[://]barnhart-studios[.]com/eln-images/Vghg1n/
    hxxp[://]beeabouttown[.]com/eln-images/NW7KUn/
    hxxp[://]blog[.]centralhome[.]hu/wp-content/pB1RfPCnBlS1WfpcOL/
    hxxp[://]blute[.]com/3Dtech/jLu8IAnnj3gK9Wc/
    hxxp[://]boamorph[.]com/cgi/hTa5ip96VSdNjX/
    hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/
    hxxp[://]chpopesco[.]com/Gallery/wPY7j2SE5MIv/
    hxxp[://]dadsgetinthegame[.]com/eln-images/tAAUG/
    hxxp[://]dev[.]learncaraudio[.]com/wp-admin/v6IKIDu90k8C6Y8/
    hxxp[://]donbaham[.]com/Home_files/YS0PAZPXcYeraes/
    hxxp[://]donboscoschoolputhuppally[.]org/wp-content/UuQ7LBsPoGu9Q/
    hxxp[://]dushkin[.]net/img/bhQSTNicEMtNQxP/
    hxxp[://]elm[.]kg/wp-admin/sZnZSz3iN/
    hxxp[://]environmentalaw[.]com/cgi/Qb/
    hxxp[://]explorationit[.]com/screwing/AxLm/
    hxxp[://]fastxmfg[.]com/voluptatum-voluptatum/rh2CNMHNjdgb6/
    hxxp[://]flynn-flynn[.]com/cgi/bdxP8s4Jbx4C/
    hxxp[://]franmulero[.]es/mbx/8c5RBJx6/
    hxxp[://]gavalisangh[.]astravit[.]com/umar-rack/fyMw4DZw1JAB/
    hxxp[://]gocut[.]com/eln-images/cAw7Uw2w/
    hxxp[://]goyaluat[.]vmesh[.]in/0v6kcny/CG/
    hxxp[://]gumpertdrucker[.]com/cgi/p8Y8sv8mpD4LQj/
    hxxp[://]hardstonecap[.]com/well-known/lW/
    hxxp[://]hoanglephat[.]vn/wp-admin/9spO9pp/
    hxxp[://]hollywoodvisual[.]com/eln-images/HIWl5z/
    hxxp[://]jkonderhoud[.]nl/wp-content/6of/
    hxxp[://]kentuckyrversjournal[.]com/cgi/U/
    hxxp[://]mangumrealty[.]com/OldPages/2ci1zAELGjBw/
    hxxp[://]mapcommunications[.]co[.]zw/wp-admin/mdRRbSdU3aB7Xpx6z/
    hxxp[://]marcowine[.]com/Images/SLlwnvS7Uxnymm/
    hxxp[://]marezdecor[.]com/MarezGallery/sEQxWTpMJ7A8rAtY0D/
    hxxp[://]miniflam[.]com/eln-images/fSwbQjUMAfGxgdw/
    hxxp[://]missionnyc[.]org/fonts/JO5/
    hxxp[://]modsociete[.]com/cgi/qtAP/
    hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/9moeTie4vHJ/
    hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/eTD8Fbu3JSWQ/
    hxxp[://]mpmcomputing[.]com/fonts/fJJrjqpIY3Bt3Q/
    hxxp[://]mtc[.]joburg[.]org[.]za/-/GBGJeFxXWlNbABv2/
    hxxp[://]myclassroomtime[.]com/mongery/ZlPsROtQiXIujmJmAA/
    hxxp[://]mymicrogreen[.]mightcode[.]com/Fox-C/NWssAbNOJDxhs/
    hxxp[://]niplaw[.]com/asolidfoundation/yCE9/
    hxxp[://]o2omart[.]co[.]in/infructuose/m4mgt2MeU/
    hxxp[://]odconsult[.]co[.]uk/ALFA_DATA/HHr0FqOXAn62/
    hxxp[://]orbdyn[.]com/eln-images/72ua/
    hxxp[://]palmcoastdevelopment[.]net/eln-images/wRhHb5xE4a7/
    hxxp[://]realacorp[.]net/PhotoGallery/UwmRHceSGbaCeGF/
    hxxp[://]robertflood[.]us/eln-images/DGI2YOkSc99XPO/
    hxxp[://]robertmchilespe[.]com/cgi/3f/
    hxxp[://]rogerschultz[.]com/eln-images/u0vT/
    hxxp[://]rosevideo[.]net/eln-images/EjdCoMlY8Gy/
    hxxp[://]rosewoodcraft[.]com/Merchant2/5[.]00/PGqX/
    hxxp[://]santafetortilla[.]com/_baks/tUx9/
    hxxp[://]sbcopylive[.]com[.]br/rjuz/w/
    hxxp[://]schildersbedrijfdsdevos[.]nl/wp-content/ItnBDmJay1Udk/
    hxxp[://]sep[.]dfwsolar[.]club/hzh3v/c083ujO5b11tuo92/
    hxxp[://]sesco-ks[.]com/wp-content/rDARACyF1lDOz9GP1r/
    hxxp[://]smbservices[.]net/cgi/JO01ckuwd/
    hxxp[://]stkpointers[.]com/eln-images/D/
    hxxp[://]teamlogisticsconsulting[.]com/cgi/TGdv/
    hxxp[://]varafood[.]com/Ajax/cnM91G/
    hxxp[://]vbaint[.]com/eln-images/H2pPGte8XzENC/
    hxxp[://]visualaudit[.]com/eln-images/c4L61/
    hxxp[://]vocoptions[.]net/cgi/ifM9R5ylbVpM8hfR/
    hxxp[://]watertechservices[.]com/cgi/XlLR7Lj2laOu4X/
    hxxp[://]wearsweetbomb[.]com/wp-content/15zZybP1EXttxDK4JH/
    hxxp[://]webnatico[.]com/wp-content/upgrade/AMnS3zau6FvzG/
    hxxp[://]www[.]ajaxmatters[.]com/c7g8t/zbBYgukXYxzAF2hZc/
    hxxp[://]www[.]ama[.]cu/jpr/00YpKFEZ/
    hxxp[://]www[.]ama[.]cu/jpr/VVP/
    hxxp[://]www[.]beholdpublications[.]com/home/BABxyyWZx8Vu/
    hxxp[://]zenzebra[.]net/plath/9Q0DBlE/
    hxxp[://]zimrights[.]co[.]zw/oldsite/k0EoCWycU9tNo1d/
    hxxps[://]1566xueshe[.]com/wp-includes/z92ZVqHH8/
    hxxps[://]7jcat[.]com/wp-content/t/
    hxxps[://]ajmotorsshop[.]com/grad-ooze/O/
    hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/
    hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/
    hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/
    hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/
    hxxps[://]canopuseng[.]in/b/5G1sl6x/
    hxxps[://]datasits[.]com/wp-includes/Zkj4QO/
    hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/
    hxxps[://]dev[.]subs2me[.]com/wp-includes/EMa/
    hxxps[://]dwwmaster[.]com/wp-content/1sR2HfFxQnkWuu/
    hxxps[://]edu-media[.]cn/wp-admin/0JAE/
    hxxps[://]estesgroup[.]net/New-site-25062021/UkQPppHG9pLNE/
    hxxps[://]framemakers[.]us/eln-images/U5W2IGE9m8i9h9r/
    hxxps[://]gurmitjaswal[.]ca/frer-hate/LW37erwSAhgU/
    hxxps[://]iacademygroup[.]cl/office/G42LJPLkl/
    hxxps[://]imagecarephotography[.]com/wp-includes/KVRvUyat0qqK0W/
    hxxps[://]karmapedia[.]com/wp-includes/X0PZpQ/
    hxxps[://]mars[.]srl/wp-admin/7Ffk6LLN2Xs2W/
    hxxps[://]msubrahm[.]com/wp-admin/5SjBp9WHfGbtgY/
    hxxps[://]mudhands[.]com/error/BfH/
    hxxps[://]new[.]tokosatu[.]com/wp-admin/QzzQZAIDuBhOplwOnhJ/
    hxxps[://]oroanddentalcarecenter[.]com/wp-includes/0JRI2sOVpNkDhAe/
    hxxps[://]pardiskood[.]com/wp-content/NR/
    hxxps[://]robointeligentedecomentarios[.]com/wp-includes/YBS9a02Y68auiEdP/
    hxxps[://]thecanadianarab[.]com/wp-content/VJ/
    hxxps[://]themillionairesweb[.]com/wp-admin/MD/
    hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/
    hxxps[://]triclicks[.]net/wp-admin/bv/
    hxxps[://]vasilestudio[.]com/wp-admin/pZ1vbd5Z/
    hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/
    hxxps[://]yanapiri[.]com/upeatv/9IZP9RfbH338pFPI/
    hxxps[://]youlanda[.]org/eln-images/n8DPZISf/
    hxxps[://]znzhou[.]top/mode/0Qb/

Emotet のC2

• 2021年12月：29種類

  104[.]131[.]62[.]48:8080
    116[.]124[.]128[.]206:8080
    128[.]199[.]192[.]135:8080
    142[.]4[.]219[.]173:8080
    159[.]69[.]237[.]188:443
    168[.]197[.]250[.]14:80
    177[.]72[.]80[.]14:7080
    185[.]148[.]168[.]15:8080
    185[.]148[.]168[.]220:8080
    190[.]90[.]233[.]66:443
    191[.]252[.]103[.]16:80
    195[.]154[.]146[.]35:443
    195[.]77[.]239[.]39:8080
    207[.]148[.]81[.]119:8080
    209[.]239[.]112[.]82:8080
    210[.]57[.]209[.]142:8080
    217[.]182[.]143[.]207:443
    37[.]44[.]244[.]177:8080
    37[.]59[.]209[.]141:8080
    45[.]63[.]5[.]129:443
    51[.]178[.]61[.]60:443
    51[.]210[.]242[.]234:8080
    54[.]37[.]228[.]122:443
    54[.]38[.]242[.]185:443
    62[.]171[.]178[.]147:8080
    66[.]42[.]57[.]149:443
    78[.]46[.]73[.]125:443
    78[.]47[.]204[.]80:443
    85[.]214[.]67[.]203:8080

• 2022年1月：45種類

  103[.]75[.]201[.]2:443
    104[.]168[.]155[.]129:8080
    104[.]251[.]214[.]46:8080
    107[.]182[.]225[.]142:8080
    110[.]232[.]117[.]186:8080
    129[.]232[.]188[.]93:443
    131[.]100[.]24[.]231:80
    138[.]185[.]72[.]26:8080
    158[.]69[.]222[.]101:443
    159[.]8[.]59[.]82:8080
    159[.]89[.]230[.]105:443
    160[.]16[.]102[.]168:80
    162[.]214[.]50[.]39:7080
    162[.]243[.]175[.]63:443
    164[.]68[.]99[.]3:8080
    173[.]212[.]193[.]249:8080
    173[.]214[.]173[.]220:8080
    176[.]104[.]106[.]96:8080
    178[.]63[.]25[.]185:443
    178[.]79[.]147[.]66:8080
    185[.]157[.]82[.]211:8080
    192[.]254[.]71[.]210:443
    195[.]154[.]133[.]20:443
    200[.]17[.]134[.]35:7080
    203[.]114[.]109[.]124:443
    207[.]38[.]84[.]195:8080
    209[.]59[.]138[.]75:7080
    212[.]237[.]17[.]99:8080
    212[.]237[.]5[.]209:443
    212[.]237[.]56[.]116:7080
    212[.]24[.]98[.]99:8080
    216[.]158[.]226[.]206:443
    217[.]182[.]143[.]207:443
    41[.]76[.]108[.]46:8080
    45[.]118[.]115[.]99:8080
    45[.]118[.]135[.]203:7080
    45[.]142[.]114[.]231:8080
    45[.]176[.]232[.]124:443
    46[.]55[.]222[.]11:443
    50[.]116[.]54[.]215:443
    51[.]15[.]4[.]22:443
    51[.]38[.]71[.]0:443
    58[.]227[.]42[.]236:80
    79[.]172[.]212[.]216:8080
    81[.]0[.]236[.]90:443

• 2022年2月：106種類

  1[.]234[.]2[.]232:8080
    103[.]134[.]85[.]85:80
    103[.]41[.]204[.]169:8080
    103[.]75[.]201[.]2:443
    103[.]75[.]201[.]4:443
    104[.]131[.]62[.]48:8080
    104[.]251[.]214[.]46:8080
    107[.]182[.]225[.]142:8080
    110[.]232[.]117[.]186:8080
    116[.]124[.]128[.]206:8080
    118[.]98[.]72[.]86:443
    119[.]235[.]255[.]201:8080
    128[.]199[.]192[.]135:8080
    129[.]232[.]188[.]93:443
    131[.]100[.]24[.]231:80
    135[.]148[.]121[.]246:8080
    138[.]185[.]72[.]26:8080
    139[.]196[.]72[.]155:8080
    144[.]76[.]186[.]49:8080
    144[.]76[.]186[.]55:7080
    149[.]56[.]163[.]161:8080
    152[.]89[.]239[.]34:443
    153[.]126[.]203[.]229:8080
    156[.]67[.]219[.]84:7080
    158[.]69[.]222[.]101:443
    159[.]65[.]88[.]10:8080
    159[.]69[.]237[.]188:443
    159[.]8[.]59[.]82:8080
    159[.]89[.]230[.]105:443
    160[.]16[.]102[.]168:80
    162[.]214[.]50[.]39:7080
    162[.]243[.]175[.]63:443
    164[.]68[.]99[.]3:8080
    168[.]197[.]250[.]14:80
    169[.]197[.]131[.]16:8080
    173[.]203[.]78[.]138:443
    173[.]212[.]193[.]249:8080
    175[.]107[.]196[.]192:80
    176[.]104[.]106[.]96:8080
    178[.]128[.]83[.]165:80
    178[.]63[.]25[.]185:443
    178[.]79[.]147[.]66:8080
    185[.]148[.]168[.]15:8080
    185[.]148[.]168[.]220:8080
    185[.]157[.]82[.]211:8080
    185[.]184[.]25[.]78:8080
    185[.]248[.]140[.]40:443
    190[.]90[.]233[.]66:443
    191[.]252[.]103[.]16:80
    192[.]254[.]71[.]210:443
    192[.]95[.]56[.]148:8080
    194[.]9[.]172[.]107:8080
    195[.]154[.]133[.]20:443
    195[.]154[.]146[.]35:443
    195[.]154[.]253[.]60:8080
    195[.]77[.]239[.]39:8080
    198[.]199[.]98[.]78:8080
    200[.]17[.]134[.]35:7080
    203[.]114[.]109[.]124:443
    203[.]153[.]216[.]46:443
    207[.]148[.]81[.]119:8080
    207[.]38[.]84[.]195:8080
    209[.]126[.]98[.]206:8080
    210[.]57[.]209[.]142:8080
    212[.]237[.]17[.]99:8080
    212[.]237[.]5[.]209:443
    212[.]237[.]56[.]116:7080
    212[.]24[.]98[.]99:8080
    213[.]190[.]4[.]223:7080
    216[.]158[.]226[.]206:443
    217[.]182[.]143[.]207:443
    23[.]246[.]204[.]126:443
    27[.]254[.]174[.]84:8080
    31[.]24[.]158[.]56:8080
    37[.]44[.]244[.]177:8080
    37[.]59[.]209[.]141:8080
    41[.]76[.]108[.]46:8080
    45[.]118[.]115[.]99:8080
    45[.]118[.]135[.]203:7080
    45[.]142[.]114[.]231:8080
    45[.]176[.]232[.]124:443
    45[.]71[.]195[.]104:8080
    46[.]41[.]130[.]218:8080
    46[.]55[.]222[.]11:443
    50[.]116[.]54[.]215:443
    50[.]30[.]40[.]196:8080
    51[.]254[.]140[.]238:7080
    51[.]38[.]71[.]0:443
    54[.]37[.]106[.]167:8080
    54[.]37[.]228[.]122:443
    54[.]38[.]242[.]185:443
    58[.]227[.]42[.]236:80
    59[.]148[.]253[.]194:443
    61[.]7[.]231[.]226:443
    61[.]7[.]231[.]229:443
    62[.]171[.]178[.]147:8080
    66[.]42[.]57[.]149:443
    68[.]183[.]93[.]250:443
    78[.]46[.]73[.]125:443
    78[.]47[.]204[.]80:443
    79[.]172[.]212[.]216:8080
    8[.]9[.]11[.]48:443
    81[.]0[.]236[.]90:443
    82[.]165[.]152[.]127:8080
    85[.]214[.]67[.]203:8080
    93[.]104[.]209[.]107:8080

更新履歴

• 2022年3月4日 初版
• 2022年3月9日 xlsm ファイル添付型メールの観測時期の訂正
  （誤: 観測時期: 2021年12月7日のみ，正: 観測時期: 2021年12月7日から）