Emotet→TrickBotからTrickBot→Emotetへ

Emotet、まだ記憶に新しいです。
Emotetはかつて猛威を振るい、当時最大の脅威とされていました。
しかし、大きくなりすぎたのでしょうか、2021年1月にそのボットネットはtakedownされ、関連する人物が逮捕されました。
また、押収されたそのEmotetの配布網を使って、Emotetをアンインストールする作戦も実行されました。
表舞台から、Emotetは退場しました。

あれから約10か月が経過しました。
新しい動きが確認されています。

Emotetをはじめとした新しい脅威を実現するソフトウェアは、モジュール化されています。
マルウェアという言い方は広い範囲を指しますが、Emotetは初期感染ツールであり、各種の他のマルウェアを被害パソコンにもってくる、いわゆるローダーとしての役割も担っていました。
しかし、そんな、脅威の大きな入り口だったEmotetの配布網は、押収され動作しなくなりました。

そうです。
動かなくなったのは、Emotetではなく、Emotetの配布網でした。
かつては、Emotetがいろいろなマルウェアを配布する動きをしていましたが、そのなかにTrickBotもありました。
Emotet→TrickBotでした。
最近観測されている情報によると、今度はTrickBot→Emotetであるというのです。
配布していたものと配布されていたものが入れ替わっています。
Emotetの配布網は押収されましたが、TrickBotによって再び配布され始めたのです。

この新しい動きは、「Operation Reacharound」というキャンペーン名で呼ばれています。

変化したのは配布方法だけではありません。
Emotetの実装内容自身も拡張されてきています。

あるものは使う、ということなのでしょうか。
防御側も、手元にある武器をよく把握し、対処していくことが必要なのかもしれません。

参考記事（外部リンク）：Emotet malware is back and rebuilding its botnet via TrickBot
www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/