〔エモテットの話し、再び…。〕

※ 再度、エモテットの話しを「おさらい」する…。

※ 全体像は、こんな感じ…。

※ ちょっと、分かりにくいので、部分を少しくわしく検討する…。

※ まず、発端は「メール」で送られてくる「wordのファイル」だ…。

※ 添付ファイルがあって、それを「クリック」して「開く」と、「マクロ」が実行される…。それが、「侵入」の始まりだ…。

※ だから、wordの添付ファイルは、「絶対、開いちゃ、ダメ!」だ…。

※ エモテットが活動を開始して、まずやることは「解析環境(マルウエア対策で、常時、システムやネットワークを解析している環境が、整っている)」にあるかどうかを、チェックすることだ…。

※ そのチェックも、「エモテット自身」がやるのでは無く、「C&Cサーバ」サイドで実行する…。

※ そして、「解析環境に無い」と判定した場合にだけ、活動して、「レジストリの書き換え・書き込み」を実行する…。

※ そして、このマルウエアの「巧妙なところ」は、盗んだデータを送信したり、いろいろ「悪さ」を実行する「モジュール」が、「システム・サイド」にファイルとして残らない・残さないように「設計」されている点だ…。

※ 「ファイル」では無く、「メモリ」に直接ロードされるように「設計」されているらしい…。

※ そして、「Outlook」がインストールされている場合は、Outlook自身に用意されている.exeを使用して、どんどん「メール関係のデータ」を収集して、C&Cサーバに送信する…。

※ しかもだ、その「Outlook自身に用意されている.exe」も、「中身がくり抜かれていて、ファイル名としては「正規」のものだが、実体は別物」という感じのものになっているそうだ…。

※ そういう「ヤレヤレ」な「マルウエア」で、世界中で「猛威を振るった」…。

※ それで、今般、ともかくも、その「C&Cサーバ」にアクセスしていた「実行犯」(の一部)のアジトを急襲して、とっ捕まえた…、というような話しだ…。