以前記事で、Emotetが復活したことをお伝えしましたが、新たな展開がw
Hacker Replaced Emotet Payloads With GIF Images
この記事によると、復活したEmotetのボットネットが、何者かによってハックされてきているということが判明しました。
Emotetはハックしたデバイス(PCやサーバ)をネットからコントロールして、ペイロード(マルウエアの本体、実行可能なプログラム)を流し込み、様々な脅威行動を引き起こします。ランサム行動を起こしたり、メールを勝手に送ったり、あらゆることができます。
ところがEmotetが構成しているボットネット自体がセキュアではなく、単純なパスワード認証しかなく、それも共通パスワードを使っていたということで、このボットネットを構成しているデバイスをさらにハックするハッカーが存在するようです。
ハッカーは、GIFイメージファイルにマルウエアペイロードを仕込んで、Emotet上にあるペイロードから置き換えてしまいます。これによって配布されたペイロードが実行されると、Emotetネットワークがハッカーのネットワークとして機能することになり、まぁ、乗っ取りですね。
それに気づいたEmotetのオペレータは躍起になってハッカーを封じ込めようとして、Emotetからの脅威行動が一旦収まったようです。
しかし、最終的にはハッカーを排除して、Emotetはまた、フィッシングメールを送り始めているようです。
なかなか、悪人同士の暗闘が表にでることはありませんが、面白い記事でした。
備忘録: