私Twitterで適当につぶやているアレ

なんかフォロワー0のアカウントで適当につぶやいてるのに、その呟きだけアクセス数が多いので

Emotet販売してる組織に最低額50$払って、感染させるファイルをアップロードしないで、待機中にして監視中
avcheck[.]netで5個~10個以上(忘れた)検知されるマルウェアは受け付けないので、xmrigをアップロードして、バイパス。後でアップロードしてね。という画面で待機状態が見れるので監視中
— s3ij1nn (@s3ij1nn) March 3, 2021

あくまでも個人の趣味の範囲で分析した内容についてまとめてみる。

Emotetをばら撒いている組織と、ランサムウェアや実際に脅迫してる組織は別

なぜEmotetが活発化したか

昔からボットネットを販売している組織や個人が多かったが、RigExploitKit(以降RigEK)があった為、ボットネット販売業界は活気づいた。

RigEKでは指定したapiを叩くと現在のドメインが提供され、そのドメインにブラウザでアクセスすると指定したマルウェアにブラウザ経由で感染させることができた。

昔放浪中にセキュリティ担当者としてRigEKの組織と接触した経験がある。

5年前ぐらいなので価格は曖昧だが、週15万円でスロット1個を使い放題だった。たまーに安くなって7万円になる。

それでRigEKを使って標的型攻撃のビジネスの傍ら、適当なユーザにも感染させて、その感染させたPCを売るというビジネスが流行り始める。

他のExploitKitもあったが、基本的にxmppで24時間連絡がとれ、hackforumsという英語話者向けのハッカー掲示板でも宣伝することで、基本的にRigEK一強となる。

さらにはイギリス法人のサイバー武器商人、"rekings"氏が現れ仲介をしてくれるようになり、更に増えるようになった。

これで、"感染させたPCを売る"いわゆるbotビジネスが活発化した。

ところが2019年頃にRigExploitKitが終了すると、ほとんどのbotビジネス屋が廃業する。

最盛期には1PC 0.01$の酷い時代になってた。botビジネス屋が廃業したことにより、価格が一気に上昇。

そこで作られたのが、標的型攻撃で多用されていたOfficeマクロマルウェアのメール送信の自動化だ。 これがEmotetといっても過言では無い。

現時点のbot屋

基本的に価格が上昇したことで、顧客は質を求めており、それがウイルスの売買においては実際のインストール数になる。

そのため、クレームを嫌がる。運営者は自動化したビジネスで儲けたいので、クレームが多そうな掲示板では告知をしない。(規模拡大を狙っている組織ではない限り)

現時点で確認されたのは以下の通り

iNerino氏 (2017年頃から運営中)

Emotet の運営者か広報担当者

最盛期には10,000-15,000 台/1日を感染させ売ってた。

EU部門がOperation Ladybirdによりテイクダウン。

US+発展途上国部門は稼働中。

問題が発生した際に、「仕方ないまた新たな自動化を考えるか」的なことを言ってるので運営者っぽい。

とある掲示板のアイコン自画像にしてるけど大丈夫なのかな？

追記2021/03/18 初期の頃はRigEKを使っていた事がトレンドマイクロで報告されている

Pop-ups and Sites Push Botnets, Miners and Ransomware

exsile氏

Emotetとは別の組織

botビジネスが活発化した時代に戻ったような広報を行ってる広報担当者。

botビジネスの組織の質は低いらしく、「広報担当の俺と直接取引すれば、マルウェアのインストールに失敗した分、追加できるよ」と豪語する。お前の組織は質が低いんじゃいと叩かれて、スレッドを閉じてしまった。

dnf氏ロシア語圏向けの広報をしてる。"DNF"というブランドで活動してる。

よくわからない

本当に運営しているのか、ただの再販なのかよくわからない。

あとコンビニバイトで稼いだ金をそこまで突っ込めないので、諦めてる。

Agri_MAN氏 (2011年頃から運営中)

多分、RigEKよりも業界長い。Zeus時代からbotビジネスやってる。

昔、fallout ExploitKit を開発、運用していた。

DonCarlos 氏 (2020年頃から運営中)

再販かな？と思ったけど、そうでもなさそう。よくわからん。

その他諸々

Webサービスも、Telegramを受け付けん。それで逮捕されるかもしれないだろ!

XMPPでOMEO/OTRじゃなきゃ受け付けん。っていう組織も見かけた。

Emotet逮捕で... 業界は再活発化

1000PC / 100$ が大体定価で、大口なら割引みたいな価格で収まってる。

インフラ用意して、感染率を上げて販売窓口も自動化すれば、感染手法を週1ぐらい考えるだけで儲かる。

Operation Ladybirdで業界の均衡が崩れて、新たな参入組織が増えているように見える。

このようなタイプのマルウェアは脆弱性を突いたりするようなものではなく、普通のアプリケーションとして実行して命令サーバーへ接続する。

いたちごっこになるだけで、永久に無くならないだろうなと思った。

そもそも。なんでEmotetの組織と気づいた？

"Emotet"ふーん。そんなのあるんだ。みたいに他人事だったけど、監視しているbotショップの2窓口のうち、片方が停止。1週間後ぐらいに"Operation Ladybird"の情報が飛び込んできたので、"Emotet"の組織とわかった。

追加情報で、停止したのは21日前後の19:13(JST)頃 pic.twitter.com/pOZNAPRs99
— s3ij1nn (@s3ij1nn) January 29, 2021

s3ij1nnの日記

Emotetの組織の業界に関しての雑多なメモ書き