NICTに届いたEmotetへの感染を狙ったメール（2021年12月～2022年2月）

はじめに

2021年11月中旬以降，日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており，独立行政法人情報処理推進機構（IPA）や一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が Emotet の活動再開に関する注意^{1 2} を呼びかけています． 本ブログでは，2021年12月から2022年2月にかけて，我々が観測した Emotet への感染を狙ったメール（以降，Emotet メール）ついて分析した結果を紹介します．

(2022年3月4日)
2022年3月1日から現時点で既に 2月の件数を越える量の Emotet メールを確認しています．本ブログに記載している特徴から変化している場合がありますので，ご注意ください．

概要

• NICT を標的とする事例を確認:
  NICT には345件の Emotet メールが届きました．全てのメールの件名または署名に，NICT の職員名や過去の取引先組織の情報が記載されていました．このうち，322件のメールが日本のワーキングタイム（平日の9時～18時頃）に配信されていました．
• 添付ファイルの新しい配信パターンを確認:
  zip ファイル添付型が最も多く届いており，329件のメールを確認しました．zip の中身はほとんどが xls または xlsm ファイルで，xls や xlsm のみが添付された事例も観測しました．
• Emotet 本体をダウンロードする新しい手法を確認:
  1. XLM4.0を用いてDLLをダウンロードする手法（12/7以降に観測）
  2. mshtaを介してPowerShellを実行する手法（1/28以降に観測）
  3. wscriptからcmd経由でPowerShellを実行する手法（2/3以降に観測）

Emotet への感染を狙ったメールの特徴

NICT には，2021年12月2日から2022年2月28日にかけて，345件の Emotet メールが届きました（図1）．

Emotet メールが届いた時期には，図1のような傾向が見られました．特に，2月3日から9日はメールが集中的に届いた時期であり，160件のメールを観測しました．これらの Emotet メールについて調査したところ，攻撃者が NICT の職員や過去の取引先組織を装って，NICT 職員の個人メールアドレスを標的としていました．

また，メールは配信と休止を繰り返しており，12月3日から6日，12月8日から1月17日，1月19日から27日，1月29日から2月2日，2月14日から22日の期間は，メールの配信がなく休止していました．メールの配信が再開した時期には，メールの配信パターンに変化が見られました．こちらについては，Emotet ダウンローダの配信パターンで後述します．

NICT に届いた Emotet メールについて，以下の4つの観点で特徴をまとめました．前回の記事³と併せてご参照ください．

• Emotet メールの件名
• Emotet メールの配信時間帯
• Emotet ダウンローダの配信パターン
• Emotet ダウンローダの特徴

それぞれの項目について，次節以降で紹介します．

Emotet メールの件名

Emotet メールの件名に使用されている言語には，英語と日本語の2種類を確認しました．Emotet メールに使用された件名を表1に示します．

表1では，Emotet メールの件名を返信型，多用型の2種類に分類しました．

• 返信型:
  件名に「Re:」や「Fwd:」が付いた件名を返信型として分類しました．多用型と違い，業務を連想させるような件名も確認しています．メールの文面が返信を装った事例には，いずれも返信型の件名を確認しています．
• 多用型:
  ばらまき型メールで使い回された件名を多用型として分類しました．件名のパターンは少なく，「（無題）」または「NICT の職員名」の2種類のみ確認しています．返信型と異なり，メールの文面に返信を装った部分や業務に関する内容は確認されませんでした．

Emotet メールの配信時間帯

Emotet メールの配信時間帯には，図2のような傾向が見られました．

図2では，345件の Emotet メールのうち，322件が9時から18時にかけて配信されていました．配信日も平日に集中しており，日本のワーキングタイムを狙ったような配信傾向は以前の Emotet メールでは観測されなかった特徴です．

Emotet ダウンローダの配信パターン

Emotet ダウンローダの配信パターンには，以下の4種類がありました．zip ファイル添付型メール，URL 記載型メールについては前回の記事³で解説しているので，そちらをご参照ください．

• zip ファイル添付型メール:

  • メールに zip ファイルが添付されているもの
  • zip ファイルには doc または xls ファイルが格納されている
  • 観測時期: 2021年12月2日から
  • メールの件数: 329件

• xlsm ファイル添付型メール:

  • メールに xlsm ファイルが添付されているもの
  • 観測時期: 2021年12月7日から
  • メールの件数: 10件

• URL 記載型メール:

  • メール本文に xls ファイルのダウンロードリンクが記載されているもの
  • 観測時期: 2022年1月18日のみ
  • メールの件数: 1件

• xls ファイル添付型メール:

  • メールに xls ファイルが添付されているもの
  • 観測時期: 2022年2月4日から
  • メールの件数: 5件

本節では，新たに観測された zip ファイル添付型メール（xlsを格納したタイプ），xlsm ファイル添付型メール，xls ファイル添付型メールの3点について紹介します．

zip ファイル添付型メールの特徴

図3に，2022年2月9日に NICT に届いた zip ファイル添付型メールを示します．

図3のメールは，実在する組織のメールアドレスを利用して，NICT の職員のメールアドレスに送信されました．送信者を過去の取引先組織に詐称し，メール本文には，簡素な文章と zip ファイルの解凍用パスワード，送信者の署名，返信を装った内容が記載されていました．また，署名については，詐称された取引先組織の職員の情報が使われていました．

メール本文のパスワードで zip ファイルを解凍すると，図4の xls ファイル（SHA-256：9c62600a0885e39bd39748150b9b64155c9ea2dbbcdd43241eb24c8e098de782）が格納されていました．

xls ファイルを開くと，以下のような「コンテンツの有効化」を促す文章が書かれていました．

If you are opening the attached file with Excel and you see a Protected view warning， then no document content will be displayed until editing and content are enabled.

以前の zip ファイル添付型メールと比較して，新たに xls ファイルを格納した事例や，メール本文に実在する組織の署名が使われている事例を多数確認しています．

xlsm ファイル添付型メールの特徴

図5に，2021年12月7日に NICT に届いた xlsm ファイル添付型メールを示します．

図5のメールは，実在する組織のメールアドレスを利用して，NICT のメーリングリストに送信されました．送信者を実在する国内組織（送信元アドレスと無関係）に詐称し，メール本文には，添付ファイルの確認を促す簡素な文章と詐称された国内組織の署名が記載されていました．また，メールの件名に「RE:」が含まれていましたが，返信を装った内容はなく，ばらまき型の Emotet メールとなっていました．このメールには，図6の xlsm ファイル（SHA-256：8c9dd1e63a57a6c1ced39fa5d620831f18ef989a0618ae9cbdbc423db062686c）が添付されていました．

xlsm ファイルを開くと，図4と同様に「コンテンツの有効化」を促す文章が書かれていました．

THIS DOCUMENT IS ONLY AVAILABLE FOR DESKTOP OR LAPTOP VERSIONS OF MICROSOFT OFFICE EXCEL. Open the document in Microsoft Office. Previewing online is not available for protected documents. CLICK “ENABLE EDITING” FROM YELLOW BAR ABOVE Once you have enabled editing, please click “Enable Content” button

2月23日からは，前述の zip に xlsm ファイルが格納された事例も確認しています．

xls ファイル添付型メールの特徴

図7に，2022年2月4日に NICT に届いた xls ファイル添付型メールを示します．

図7のメールは，実在する国内組織のメールアドレスを利用して，NICT のメーリングリストに送信されました．送信者を NICT 職員に詐称し，メール本文には，添付ファイルの確認を促す簡素な文章と NICT 職員の署名，返信を装った内容が記載されていました．このメールには，図6と同じ見た目の xls ファイルが添付されていました．

Emotet ダウンローダの特徴

Emotet メールに添付されていたファイルは，全部で67種類ありました．添付ファイルを開いた際に表示されるドキュメントの外観を分類すると，3つのパターンがありました．確認した添付ファイルの外観は，付録 に記載しています．

本節では，上記の添付ファイルについて，前回の観測³で見られなかった特徴を紹介します．

時系列で整理した Emotet メールの特徴について

NICT に届いた Emotet メールの特徴を時系列で表2に整理しました．

時系列で見ると，配信と休止を繰り返しながら，添付ファイルや感染手法など様々な特徴が追加されていました．特に，2月に入ってからは，特定の NICT の職員を狙った zip ファイル添付型の増加も見られ，業務に関する返信を装った Emotet メールが観測されました．

以前の Emotet メール³と比較すると，doc ファイルではなく xls や xlsm ファイルが扱われるようになり，件数こそ少ないものの，日本のワーキングタイム（平日の9時～18時頃）を狙って配信されていました．特に特徴的だった3つの感染手法について次節以降で紹介します．

• XLM4.0 のみを使用する検体
• XLM4.0/JavaScript/VBScript/PowerShell を使用する検体
• VBA/VBScript/PowerShell を使用する検体

XLM4.0 のみを使用する検体

2021年12月7日に初めて確認した XLM4.0 のみを使用する検体について紹介します．まずは，Emotet ダウンローダ実行時のプロセスツリーを図8に示します．

図8 のプロセスツリーから，EXCEL.EXE と rundll32.exe のみが実行されていることが分かります．Excel ファイルについて確認すると，図9 のように非表示シートが用意されており，そのシート中に XLM4.0 マクロが挿入されていました．シートを再表示にした後，「=」で検索すると，図10のように挿入されているマクロが確認できます．

また，これらのマクロは，XLMMacroDeobfuscator⁴ で簡単に抽出することもできます．抽出結果を図11に示します．

上記のマクロを確認すると，URLDownloadToFileA を用いて，以下の3つの URL のいずれかから DLL をダウンロードしています．

• hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/
• hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/
• hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/

最後に rundll32 を用いて，ダウンロードした DLL を実行することで，Emotet に感染します．また，2月23日頃から同様の手法ですが，最後に regsvr32 を使用して DLL を実行する検体を確認しています．

XLM4.0/JavaScript/VBScript/PowerShell を使用する検体

2022年1月18日に初めて確認した XLM4.0/JavaScript/VBScript/PowerShell を使用する検体について紹介します．まずは，Emotet ダウンローダ実行時のプロセスツリーを図12 に示します．

前節と異なり，CMD.EXE，mshta.exe，powershell.exe が実行されていることが分かります．Excel ファイルは，図13 のように前節よりシンプルで，mshta を用いて，外部のファイル（hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html）にアクセスする実装でした．

hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html をダウンロードしてブラウザで確認すると，図14 のようなメッセージが書かれていました．

また，このファイルには，図15 のように unescape や eval などを用いて難読化された JavaScript が埋め込まれていました．

このスクリプトを実行すると，最終的に図16のような script タグが末尾付近に挿入されます．これは，VBScript で書かれており，WScript.Shell を用いて，PowerShell を起動するような実装でした．

上記の VBScript によって実行される PowerShell スクリプトを図17に示します．

このスクリプトの難読化を解いて整形すると，図18のようになります．

外部からファイル（hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]png）をダウンロードし，PowerShell スクリプトとして実行されます．実際に実行されるスクリプトを図19に示します．

このスクリプトは，以下の 12 個の URL のいずれかから DLL をダウンロードします．

• hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/
• hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/
• hxxp[://]it-o[.]biz/bitrix/xoDdDe/
• hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/
• hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/
• hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/
• hxxps[://]property-eg[.]com/mlzkir/97v/
• hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/
• hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/
• hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/
• hxxp[://]activetraining[.]sytes[.]net/libraries/8s/
• hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/

最後に，rundll32 を用いてダウンロードした DLL を実行することで，Emotet に感染します．

VBA/VBScript/PowerShell を使用する検体

このタイプの Emotet ダウンローダは，2022年2月3日に初めて確認しました．まずは，Emotet ダウンローダ実行時のプロセスツリーを図20 に示します．

前節と異なり，wscript.exe から powershell.exe や rundll32.exe が実行されていることが分かります．また，Excel ファイルも前節と異なり，XLM4.0 ではなく，VBA が使用されていました．図21 のように VBAProject は，パスワードでロックされていますが，EvilClippy⁵ で解除することができます．

VBA マクロが実行されると，C:\ProgramData ディレクトリ配下に 図22，図23 の2 種類のファイルが生成されます．

各ファイル生成後に WScript で C:\ProgramData\wetidjks.vbs が実行されます（図24）．

VBA で生成される2つのファイルの難読化を解いて整形すると，図25，図26のようになります．

まず，wetidjks.vbs により，jledshf.bat が実行され，PowerShell スクリプトが実行されます．図27 に難読化を解いて整形した PowerShell スクリプトを示します．

このスクリプトは，以下の12個の URL のいずれかから DLL をダウンロードします．

• hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/
• hxxp[://]sbcopylive[.]com[.]br/rjuz/w/
• hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/
• hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/
• hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/
• hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/
• hxxps[://]pardiskood[.]com/wp-content/NR/
• hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/
• hxxps[://]datasits[.]com/wp-includes/Zkj4QO/
• hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/
• hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/
• hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/

最後に wetidjks.vbs の処理により，PowerShell でダウンロードされた DLL が rundll32 で実行され，Emotet に感染します．

まとめ

本ブログでは，NICT に届いた Emotet メールについて，以下の3点を紹介しました．

• NICT を標的とした配信:
  「Re:」や「Fwd:」，「NICT 職員の氏名」が扱われた件名が多く，NICT の職員や過去の取引先組織を装って配信されていました．また，殆どのメールが日本のワーキングタイム（平日の9時～18時頃）に集中していました．
• Emotet ダウンローダの配信パターン:
  Excel ファイルをメールに添付する xlsm ファイル添付型や xls ファイル添付型が新たに確認されました．zip ファイル添付型については，doc ファイルではなく xls や xlsm ファイルを格納している事例を確認しています．
• Emotet ダウンローダの特徴:
  Emotet 本体のダウンロード用マクロには XLM4.0，mshta，wscript が使われており，難読化や通信先の増加など新たな特徴が確認されました．

他にも，以前の観測では見られなかった特徴として，新たな添付ファイルの外観を2種類確認しました．2022年2月以降，NICT では Emotet メールの増加を確認しており，セキュリティベンダのブログ^{6 7}でも国内を狙った攻撃が報告されています．NICT では，本ブログのような傾向で Emotet を観測しており，Emotet の分析や傾向の把握，注意喚起，Emotet の通信先の遮断に役立てています．メールや添付ファイルの特徴は今後も変わっていく可能性があるため，我々は引き続き動向を観測していきます．

付録

添付ファイル名

• 2021年12月：3種類

  • jom-日付（mmdd）.zip
  • jom-日付（mmdd）.doc
  • DOCUMENT 5.xlsm

• 2022年1月：2種類

  • 英数字の文字列.zip
  • 英数字の文字列.xls

• 2022年2月：12種類

  • 英数字の文字列.zip
  • 英数字の文字列.xls
  • 日付（yyyy-mm-dd_hh:mm）.zip
  • 日付（yyyy-mm-dd_hh:mm）.xls
  • form.zip
  • form.xls
  • NU-4626 report.xls
  • PXI-010222 XXJF-040222.zip
  • PXI-010222 XXJF-040222.xls
  • Report.xls
  • report 02 23 2022.xls
  • YZ-2793 report.xls

添付ファイルの外観：3種類

• パターン1（2021年12月2日～）

• パターン2（2021年12月7日～）

• パターン3（2022年2月9日～）

Emotet ダウンローダのハッシュ値（MD5）

• 2021年12月：2種類

  6d8e23934c72dbc48017a816594ce307
  8f48e6209f4596de4c0c4bd896c5ab55

• 2022年1月：1種類

  10e94dbe911f43b590ee04fc025d3e75
  

• 2022年2月：128種類

  00e205a81bbd8924ed4704f1a6b7d950
  023df726de12283edbb9bf03117fb442
  02447345bc4538a4d5eeb2bd896a183d
  078b6f8a32e762e0a98a7e9c45bd2947
  07b1cd7428b8de5f82ca6f3848ebfaf2
  08c7639d5f453160199e5dad8710a861
  09d3a68b8db86cdfb6913fe95d29558e
  0aa7668f75b4a7ed142db39be937063c
  0ad570941fc5cf7aa54d542b5b7feaa0
  0bc5f9cf4a4537b9b739564c26bb3a11
  0d5b50d012a9bf86db7e69b1695d3fe9
  169bf191cee0aecb80ec4e4e9c290787
  1a18755a99d4b822aebba6f14f6f1df4
  1a2b8e8694c0d91cc88dffabf19312e5
  1a8cf71394868da22b830d4d8101e706
  1bc20d441fd1e83087b10d9cf8bcacec
  1e3d14414410e6a0a314f899c6772a20
  203bf078f82f4d423d3fee3323891d83
  210f90fc5399159d32a242d506021a6e
  254ce017c9c2982ba289c866a944adb3
  255e92fdbd7aa0ec851490723b5e90e2
  25a3c2256812f7edc20155ab99104f59
  26444b2dee6eaa81eac47a3356af71dd
  26a2ec709aaabf949ef1d637c9371c48
  2b229f1d8cc2b4e514e1cd6aa74296b7
  2e26c98a6ed4b2838d896749021b1e09
  370cd5610472f571ff75cfae568defb9
  3b77d03803d739a50f043496d57941a8
  3baf7aa6309bfd46f6bc6308db8b6c50
  42b84cb0b9766febad3de8d25703dde3
  47af62ea6f19843fa3a6aa823f0920a2
  49b6ddbd9c7322acaa92d947db70bf51
  4c96f70b5916411e8874171d5e3360d3
  4ca173bedc4fc060d034ec45f3dda873
  4cc5ac1b2f3f66671cd15d23f5f8cf31
  511f8a768b1dcde446c40e009ec5619a
  53d0a9e27239c457675a0e72e6a2370b
  54a1fa13b8b32f3794394aa11b7866d2
  551d4fced29c70be4e1b453f643ac8cd
  5c10f41fde57e8c2811f5903846f0997
  5e07d79cfc4ad2e844b8cd18b5ef6e79
  5efe43f4fd5f25df432926f99a5fc415
  6027d3fa1e7cbee435fa7a3455589d2c
  612534e55a3e9d2078fe485c33ea0e72
  69e50f00dfd3eaf44fe8aa12856c65aa
  6bf70a6aea414045073ee484d36d07ae
  6c8d54be16b1634fbf051994b0f78944
  6e98dd5ebb820ccdae9df21313b76624
  721c1e3f3a7456dce007304b916a53cb
  73e942ab08570edbe1b8d8cbf7d145f5
  773d8e0c1096499ed0c0aec18bdecab5
  78ee5efc7e2438db2c4950f5bba64335
  798a723780cdefa2e93c6705924c9f8c
  7b13abf8fbe60ae155fc348a1ebcc8f2
  7f6dbe11e42c6f71099c3ddca60ca0ca
  7f7e44f7f62a2903c7866ec053371d97
  80eb486b4b3f33a03932ccb0992b68f3
  864e2c9eba94363c03cd1f5dca7d1cd4
  87b6478e28cfd849f574412491816574
  89f7cfd0168d3360f1a13291c7b63da3
  8c8e022f7ad738b47b4e44c226abd6cd
  8fc59bbf80df6a8c65d191d36968888f
  8ffe4f117186a82aa4299faf4120cb4a
  909d33a948a9f4350b943809c55b45c7
  9136bd84296838f78a8d76d09db70ca3
  913a142eb16a99f068a0ab1f26707b31
  91f00a1b9604fe6a56a3e2d560ed6f82
  9262a97db661cb6f7f86ee606c9be042
  934d0520484541a7f0b3a9172112180c
  93b53be7c82684335dd9d5c8736fed80
  93f9be36cbf0176001f18ca9d242a851
  95a48bbf83a01a754f6671dcddf55f6d
  9622445736cbdb2220e53d3d0b422a03
  98739d4a0a282e1a91aea7b0fb72ad4f
  9ebfbff4728fc024851edee35bb112a7
  a0a52481798f12ef987c25dceb40153c
  a1e91a9221d6ef75a12a5f63ae159784
  a284aa2f01051f78e8434e23ff06092f
  a316f9a4aec8bd88dc596b27f181544d
  a5052fd380f715b2388cebc2e6f9328e
  a830dcb4d20938ac91ba235c526b9ad1
  a84aeb5219b3cd81065911ecf2cae30c
  a99eb9a5a6419b27ee05e5be68f64d66
  aa2120f2e5b6f649ccb006b9bc1be2fe
  aa265aacd88fa850d7faf761f1c1e200
  aab1caa1875f8c81f0fc847c8c16a525
  ab7f592c0cd15ba7f3e1497a2f3d79a9
  ae8249c24ccb0a38cd444928e0d12488
  b150ae747936696d3adb30923448ca5c
  b483c910c5dd3f60c978697448db295f
  b7dfae799012fd46cf7c76173207f002
  bafe79eff6e6b4024b8aa1972e91e1b2
  bd2121f2abc4e929dd8924d42952eb40
  bda0c651e003fa762cb4963ad8ef25c1
  c3eb5c8dc1c709e045ef341aa8be9b33
  c414f8df59ae5349fec0ba436a840269
  c475730d0c8cea817400573e71923905
  c52a3a5504db37aad112e3ba7d4c4815
  c78f213b18d6ad42d058d33afe95d23a
  c7c0b6c2f9c2cad477b4e603a41f8a67
  ca2eb30f1a2d03d5623d4e8526be7ff8
  cb1e26e6446cb647ac34af336799d261
  ccb98f4d093e527c43f0130462658c73
  cdd83e0f08d1c26b2963ba8fac143ae8
  d081ae40c892ee33346b1e13cf816daf
  d83cd825d0e22683f6806b3d8d706816
  dbea7ece5b95759bf93cade7ef99d6f5
  dc9371bc01a0f194b2b0ae065d4bae24
  ddfc5396bf08500adf2062323b5fdaea
  e2aa9baf25683ecf217e3544ed8abd59
  e356ae805df158eb3846fd217e6a39a6
  e8f75114cc17f0b94381b1d7cee00131
  e98d513ad99ae5ca200fa7af7ba40854
  ea3d098f302a65aa55ed79cd517034f4
  ed36ceeaa01155abcc48d17d09b2fa2c
  eeeb23222ac7d1d08cc96048c24e5ef9
  ef2ee187425f057bd8c88fe300618bd7
  f0b0fd5cd4a9a1334e8bee3e1e436eae
  f1b97c48b8066eba9c8120d890525f55
  f32a95a228f9b9ceb8e556d60da3030a
  f43c8e9a5db5c9b3071957b9e4c87736
  f91da2dbfb731e8aed5528f6c75d2266
  fa595e4ff12c589c57ec6df27267d4a4
  fb932877d6efb6e0da29eac833527bbf
  fc46051a0113d6c40e8249fc9ec14940
  fda4ca230274a05fe204e821450dcdab
  fe87807ccf15011dcf1e788a8ef40b9e
  fff8a44e6fc5f977ba0196534ce4263d

Emotet ダウンローダの通信先 URL

• 2021年12月：10種類

  hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/
  hxxp[://]chauvettheatre[.]com/wp-includes/nm55qK7wCxKBRLM/
  hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/
  hxxp[://]veletrgovina[.]net/_Include/449XbSn6C/
  hxxp[://]www[.]hyperz[.]top/wp-admin/includes/MZxGPP9KUXc3T8mp/
  hxxps[://]a[.]sjmall[.]top/begv/XH2SMEMvHBTDUzH8IuehbWW/
  hxxps[://]chinchincargo[.]com/wp-admin/GhmjcEnREnnUpBLEaAdtz/
  hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/
  hxxps[://]kiemtientugame[.]com/images/yBBNzwalwxZWA6kY6wXIXYp/
  hxxps[://]nlmwebdev[.]com/threeaminos/wp-content/NrvRJjRU/
  

• 2022年1月：12種類

  hxxp[://]activetraining[.]sytes[.]net/libraries/8s/
  hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/
  hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/
  hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/
  hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/
  hxxp[://]it-o[.]biz/bitrix/xoDdDe/
  hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/
  hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/
  hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/
  hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/
  hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/
  hxxps[://]property-eg[.]com/mlzkir/97v/
  

• 2022年2月：113種類

  hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/
  hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/dU8Ds/
  hxxp[://]albatrospatagonia[.]com/phkcvt/t53ceSMDqgPQlq/
  hxxp[://]annefront[.]com/eln-images/gANlH/
  hxxp[://]appyhorsey[.]com/FeedBack/adJcH8XSC66hKK/
  hxxp[://]balden[.]com/eln-images/O9xRZhm47Bt50Q/
  hxxp[://]barnhart-studios[.]com/eln-images/Vghg1n/
  hxxp[://]beeabouttown[.]com/eln-images/NW7KUn/
  hxxp[://]blog[.]centralhome[.]hu/wp-content/pB1RfPCnBlS1WfpcOL/
  hxxp[://]blute[.]com/3Dtech/jLu8IAnnj3gK9Wc/
  hxxp[://]boamorph[.]com/cgi/hTa5ip96VSdNjX/
  hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/
  hxxp[://]chpopesco[.]com/Gallery/wPY7j2SE5MIv/
  hxxp[://]dadsgetinthegame[.]com/eln-images/tAAUG/
  hxxp[://]dev[.]learncaraudio[.]com/wp-admin/v6IKIDu90k8C6Y8/
  hxxp[://]donbaham[.]com/Home_files/YS0PAZPXcYeraes/
  hxxp[://]donboscoschoolputhuppally[.]org/wp-content/UuQ7LBsPoGu9Q/
  hxxp[://]dushkin[.]net/img/bhQSTNicEMtNQxP/
  hxxp[://]elm[.]kg/wp-admin/sZnZSz3iN/
  hxxp[://]environmentalaw[.]com/cgi/Qb/
  hxxp[://]explorationit[.]com/screwing/AxLm/
  hxxp[://]fastxmfg[.]com/voluptatum-voluptatum/rh2CNMHNjdgb6/
  hxxp[://]flynn-flynn[.]com/cgi/bdxP8s4Jbx4C/
  hxxp[://]franmulero[.]es/mbx/8c5RBJx6/
  hxxp[://]gavalisangh[.]astravit[.]com/umar-rack/fyMw4DZw1JAB/
  hxxp[://]gocut[.]com/eln-images/cAw7Uw2w/
  hxxp[://]goyaluat[.]vmesh[.]in/0v6kcny/CG/
  hxxp[://]gumpertdrucker[.]com/cgi/p8Y8sv8mpD4LQj/
  hxxp[://]hardstonecap[.]com/well-known/lW/
  hxxp[://]hoanglephat[.]vn/wp-admin/9spO9pp/
  hxxp[://]hollywoodvisual[.]com/eln-images/HIWl5z/
  hxxp[://]jkonderhoud[.]nl/wp-content/6of/
  hxxp[://]kentuckyrversjournal[.]com/cgi/U/
  hxxp[://]mangumrealty[.]com/OldPages/2ci1zAELGjBw/
  hxxp[://]mapcommunications[.]co[.]zw/wp-admin/mdRRbSdU3aB7Xpx6z/
  hxxp[://]marcowine[.]com/Images/SLlwnvS7Uxnymm/
  hxxp[://]marezdecor[.]com/MarezGallery/sEQxWTpMJ7A8rAtY0D/
  hxxp[://]miniflam[.]com/eln-images/fSwbQjUMAfGxgdw/
  hxxp[://]missionnyc[.]org/fonts/JO5/
  hxxp[://]modsociete[.]com/cgi/qtAP/
  hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/9moeTie4vHJ/
  hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/eTD8Fbu3JSWQ/
  hxxp[://]mpmcomputing[.]com/fonts/fJJrjqpIY3Bt3Q/
  hxxp[://]mtc[.]joburg[.]org[.]za/-/GBGJeFxXWlNbABv2/
  hxxp[://]myclassroomtime[.]com/mongery/ZlPsROtQiXIujmJmAA/
  hxxp[://]mymicrogreen[.]mightcode[.]com/Fox-C/NWssAbNOJDxhs/
  hxxp[://]niplaw[.]com/asolidfoundation/yCE9/
  hxxp[://]o2omart[.]co[.]in/infructuose/m4mgt2MeU/
  hxxp[://]odconsult[.]co[.]uk/ALFA_DATA/HHr0FqOXAn62/
  hxxp[://]orbdyn[.]com/eln-images/72ua/
  hxxp[://]palmcoastdevelopment[.]net/eln-images/wRhHb5xE4a7/
  hxxp[://]realacorp[.]net/PhotoGallery/UwmRHceSGbaCeGF/
  hxxp[://]robertflood[.]us/eln-images/DGI2YOkSc99XPO/
  hxxp[://]robertmchilespe[.]com/cgi/3f/
  hxxp[://]rogerschultz[.]com/eln-images/u0vT/
  hxxp[://]rosevideo[.]net/eln-images/EjdCoMlY8Gy/
  hxxp[://]rosewoodcraft[.]com/Merchant2/5[.]00/PGqX/
  hxxp[://]santafetortilla[.]com/_baks/tUx9/
  hxxp[://]sbcopylive[.]com[.]br/rjuz/w/
  hxxp[://]schildersbedrijfdsdevos[.]nl/wp-content/ItnBDmJay1Udk/
  hxxp[://]sep[.]dfwsolar[.]club/hzh3v/c083ujO5b11tuo92/
  hxxp[://]sesco-ks[.]com/wp-content/rDARACyF1lDOz9GP1r/
  hxxp[://]smbservices[.]net/cgi/JO01ckuwd/
  hxxp[://]stkpointers[.]com/eln-images/D/
  hxxp[://]teamlogisticsconsulting[.]com/cgi/TGdv/
  hxxp[://]varafood[.]com/Ajax/cnM91G/
  hxxp[://]vbaint[.]com/eln-images/H2pPGte8XzENC/
  hxxp[://]visualaudit[.]com/eln-images/c4L61/
  hxxp[://]vocoptions[.]net/cgi/ifM9R5ylbVpM8hfR/
  hxxp[://]watertechservices[.]com/cgi/XlLR7Lj2laOu4X/
  hxxp[://]wearsweetbomb[.]com/wp-content/15zZybP1EXttxDK4JH/
  hxxp[://]webnatico[.]com/wp-content/upgrade/AMnS3zau6FvzG/
  hxxp[://]www[.]ajaxmatters[.]com/c7g8t/zbBYgukXYxzAF2hZc/
  hxxp[://]www[.]ama[.]cu/jpr/00YpKFEZ/
  hxxp[://]www[.]ama[.]cu/jpr/VVP/
  hxxp[://]www[.]beholdpublications[.]com/home/BABxyyWZx8Vu/
  hxxp[://]zenzebra[.]net/plath/9Q0DBlE/
  hxxp[://]zimrights[.]co[.]zw/oldsite/k0EoCWycU9tNo1d/
  hxxps[://]1566xueshe[.]com/wp-includes/z92ZVqHH8/
  hxxps[://]7jcat[.]com/wp-content/t/
  hxxps[://]ajmotorsshop[.]com/grad-ooze/O/
  hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/
  hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/
  hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/
  hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/
  hxxps[://]canopuseng[.]in/b/5G1sl6x/
  hxxps[://]datasits[.]com/wp-includes/Zkj4QO/
  hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/
  hxxps[://]dev[.]subs2me[.]com/wp-includes/EMa/
  hxxps[://]dwwmaster[.]com/wp-content/1sR2HfFxQnkWuu/
  hxxps[://]edu-media[.]cn/wp-admin/0JAE/
  hxxps[://]estesgroup[.]net/New-site-25062021/UkQPppHG9pLNE/
  hxxps[://]framemakers[.]us/eln-images/U5W2IGE9m8i9h9r/
  hxxps[://]gurmitjaswal[.]ca/frer-hate/LW37erwSAhgU/
  hxxps[://]iacademygroup[.]cl/office/G42LJPLkl/
  hxxps[://]imagecarephotography[.]com/wp-includes/KVRvUyat0qqK0W/
  hxxps[://]karmapedia[.]com/wp-includes/X0PZpQ/
  hxxps[://]mars[.]srl/wp-admin/7Ffk6LLN2Xs2W/
  hxxps[://]msubrahm[.]com/wp-admin/5SjBp9WHfGbtgY/
  hxxps[://]mudhands[.]com/error/BfH/
  hxxps[://]new[.]tokosatu[.]com/wp-admin/QzzQZAIDuBhOplwOnhJ/
  hxxps[://]oroanddentalcarecenter[.]com/wp-includes/0JRI2sOVpNkDhAe/
  hxxps[://]pardiskood[.]com/wp-content/NR/
  hxxps[://]robointeligentedecomentarios[.]com/wp-includes/YBS9a02Y68auiEdP/
  hxxps[://]thecanadianarab[.]com/wp-content/VJ/
  hxxps[://]themillionairesweb[.]com/wp-admin/MD/
  hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/
  hxxps[://]triclicks[.]net/wp-admin/bv/
  hxxps[://]vasilestudio[.]com/wp-admin/pZ1vbd5Z/
  hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/
  hxxps[://]yanapiri[.]com/upeatv/9IZP9RfbH338pFPI/
  hxxps[://]youlanda[.]org/eln-images/n8DPZISf/
  hxxps[://]znzhou[.]top/mode/0Qb/

Emotet のC2

• 2021年12月：29種類

  104[.]131[.]62[.]48:8080
  116[.]124[.]128[.]206:8080
  128[.]199[.]192[.]135:8080
  142[.]4[.]219[.]173:8080
  159[.]69[.]237[.]188:443
  168[.]197[.]250[.]14:80
  177[.]72[.]80[.]14:7080
  185[.]148[.]168[.]15:8080
  185[.]148[.]168[.]220:8080
  190[.]90[.]233[.]66:443
  191[.]252[.]103[.]16:80
  195[.]154[.]146[.]35:443
  195[.]77[.]239[.]39:8080
  207[.]148[.]81[.]119:8080
  209[.]239[.]112[.]82:8080
  210[.]57[.]209[.]142:8080
  217[.]182[.]143[.]207:443
  37[.]44[.]244[.]177:8080
  37[.]59[.]209[.]141:8080
  45[.]63[.]5[.]129:443
  51[.]178[.]61[.]60:443
  51[.]210[.]242[.]234:8080
  54[.]37[.]228[.]122:443
  54[.]38[.]242[.]185:443
  62[.]171[.]178[.]147:8080
  66[.]42[.]57[.]149:443
  78[.]46[.]73[.]125:443
  78[.]47[.]204[.]80:443
  85[.]214[.]67[.]203:8080

• 2022年1月：45種類

  103[.]75[.]201[.]2:443
  104[.]168[.]155[.]129:8080
  104[.]251[.]214[.]46:8080
  107[.]182[.]225[.]142:8080
  110[.]232[.]117[.]186:8080
  129[.]232[.]188[.]93:443
  131[.]100[.]24[.]231:80
  138[.]185[.]72[.]26:8080
  158[.]69[.]222[.]101:443
  159[.]8[.]59[.]82:8080
  159[.]89[.]230[.]105:443
  160[.]16[.]102[.]168:80
  162[.]214[.]50[.]39:7080
  162[.]243[.]175[.]63:443
  164[.]68[.]99[.]3:8080
  173[.]212[.]193[.]249:8080
  173[.]214[.]173[.]220:8080
  176[.]104[.]106[.]96:8080
  178[.]63[.]25[.]185:443
  178[.]79[.]147[.]66:8080
  185[.]157[.]82[.]211:8080
  192[.]254[.]71[.]210:443
  195[.]154[.]133[.]20:443
  200[.]17[.]134[.]35:7080
  203[.]114[.]109[.]124:443
  207[.]38[.]84[.]195:8080
  209[.]59[.]138[.]75:7080
  212[.]237[.]17[.]99:8080
  212[.]237[.]5[.]209:443
  212[.]237[.]56[.]116:7080
  212[.]24[.]98[.]99:8080
  216[.]158[.]226[.]206:443
  217[.]182[.]143[.]207:443
  41[.]76[.]108[.]46:8080
  45[.]118[.]115[.]99:8080
  45[.]118[.]135[.]203:7080
  45[.]142[.]114[.]231:8080
  45[.]176[.]232[.]124:443
  46[.]55[.]222[.]11:443
  50[.]116[.]54[.]215:443
  51[.]15[.]4[.]22:443
  51[.]38[.]71[.]0:443
  58[.]227[.]42[.]236:80
  79[.]172[.]212[.]216:8080
  81[.]0[.]236[.]90:443

• 2022年2月：106種類

  1[.]234[.]2[.]232:8080
  103[.]134[.]85[.]85:80
  103[.]41[.]204[.]169:8080
  103[.]75[.]201[.]2:443
  103[.]75[.]201[.]4:443
  104[.]131[.]62[.]48:8080
  104[.]251[.]214[.]46:8080
  107[.]182[.]225[.]142:8080
  110[.]232[.]117[.]186:8080
  116[.]124[.]128[.]206:8080
  118[.]98[.]72[.]86:443
  119[.]235[.]255[.]201:8080
  128[.]199[.]192[.]135:8080
  129[.]232[.]188[.]93:443
  131[.]100[.]24[.]231:80
  135[.]148[.]121[.]246:8080
  138[.]185[.]72[.]26:8080
  139[.]196[.]72[.]155:8080
  144[.]76[.]186[.]49:8080
  144[.]76[.]186[.]55:7080
  149[.]56[.]163[.]161:8080
  152[.]89[.]239[.]34:443
  153[.]126[.]203[.]229:8080
  156[.]67[.]219[.]84:7080
  158[.]69[.]222[.]101:443
  159[.]65[.]88[.]10:8080
  159[.]69[.]237[.]188:443
  159[.]8[.]59[.]82:8080
  159[.]89[.]230[.]105:443
  160[.]16[.]102[.]168:80
  162[.]214[.]50[.]39:7080
  162[.]243[.]175[.]63:443
  164[.]68[.]99[.]3:8080
  168[.]197[.]250[.]14:80
  169[.]197[.]131[.]16:8080
  173[.]203[.]78[.]138:443
  173[.]212[.]193[.]249:8080
  175[.]107[.]196[.]192:80
  176[.]104[.]106[.]96:8080
  178[.]128[.]83[.]165:80
  178[.]63[.]25[.]185:443
  178[.]79[.]147[.]66:8080
  185[.]148[.]168[.]15:8080
  185[.]148[.]168[.]220:8080
  185[.]157[.]82[.]211:8080
  185[.]184[.]25[.]78:8080
  185[.]248[.]140[.]40:443
  190[.]90[.]233[.]66:443
  191[.]252[.]103[.]16:80
  192[.]254[.]71[.]210:443
  192[.]95[.]56[.]148:8080
  194[.]9[.]172[.]107:8080
  195[.]154[.]133[.]20:443
  195[.]154[.]146[.]35:443
  195[.]154[.]253[.]60:8080
  195[.]77[.]239[.]39:8080
  198[.]199[.]98[.]78:8080
  200[.]17[.]134[.]35:7080
  203[.]114[.]109[.]124:443
  203[.]153[.]216[.]46:443
  207[.]148[.]81[.]119:8080
  207[.]38[.]84[.]195:8080
  209[.]126[.]98[.]206:8080
  210[.]57[.]209[.]142:8080
  212[.]237[.]17[.]99:8080
  212[.]237[.]5[.]209:443
  212[.]237[.]56[.]116:7080
  212[.]24[.]98[.]99:8080
  213[.]190[.]4[.]223:7080
  216[.]158[.]226[.]206:443
  217[.]182[.]143[.]207:443
  23[.]246[.]204[.]126:443
  27[.]254[.]174[.]84:8080
  31[.]24[.]158[.]56:8080
  37[.]44[.]244[.]177:8080
  37[.]59[.]209[.]141:8080
  41[.]76[.]108[.]46:8080
  45[.]118[.]115[.]99:8080
  45[.]118[.]135[.]203:7080
  45[.]142[.]114[.]231:8080
  45[.]176[.]232[.]124:443
  45[.]71[.]195[.]104:8080
  46[.]41[.]130[.]218:8080
  46[.]55[.]222[.]11:443
  50[.]116[.]54[.]215:443
  50[.]30[.]40[.]196:8080
  51[.]254[.]140[.]238:7080
  51[.]38[.]71[.]0:443
  54[.]37[.]106[.]167:8080
  54[.]37[.]228[.]122:443
  54[.]38[.]242[.]185:443
  58[.]227[.]42[.]236:80
  59[.]148[.]253[.]194:443
  61[.]7[.]231[.]226:443
  61[.]7[.]231[.]229:443
  62[.]171[.]178[.]147:8080
  66[.]42[.]57[.]149:443
  68[.]183[.]93[.]250:443
  78[.]46[.]73[.]125:443
  78[.]47[.]204[.]80:443
  79[.]172[.]212[.]216:8080
  8[.]9[.]11[.]48:443
  81[.]0[.]236[.]90:443
  82[.]165[.]152[.]127:8080
  85[.]214[.]67[.]203:8080
  93[.]104[.]209[.]107:8080

更新履歴

• 2022年3月4日 初版
• 2022年3月9日 xlsm ファイル添付型メールの観測時期の訂正
  （誤: 観測時期: 2021年12月7日のみ，正: 観測時期: 2021年12月7日から）