2023年12月に最も活発だったマルウェアを発表 Qbotが法執行機関による制圧から4カ月で復活
Qbotがホスピタリティ業界を狙うフィッシングキャンペーンで検出され復活を確認、また、ダウンローダーのFakeUpdatesがグローバルランキング首位に。国内ランキング首位のNanocoreはグローバルでも3位に浮上
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年12月の最新版Global Threat Index(世界脅威インデックス)を発表した。
2023年12月、Qbotの復活が確認された。米国および国際法執行機関が「ダックハント作戦(Operation Duck Hunt)」によって同年8月にQbotのインフラを破壊後、4カ月での復活。一方、グローバルのランキング首位にはJavaScriptダウンローダーのFakeUpdatesが急浮上し、世界で最も攻撃を受けた業種・業界のランキングは引き続き「教育・研究」分野が首位となった。
Qbotの復活
2023年12月、Qbotは、ホスピタリティ業界の組織を標的とした小規模なサイバー攻撃の一部として使用された。このキャンペーンではハッカーがIRSになりすまし、MicrosoftインストーラーにリンクするURLが埋め込まれたPDFの添付ファイルを含む、悪意ある電子メールを送信したことが確認された。このインストーラーの作動がトリガーとなり、埋め込まれたダイナミックリンクライブラリ(DLL)を利用して目に見えないQbotが起動する。2023年8月の撲滅作戦以前には、Qbotは脅威インデックスの上位を独占し、10カ月連続して最も流行しているマルウェアのランキングの上位3位以内に入っていた。現時点では10位以内には戻っていないものの、以前のような悪名を取り戻すかどうかは今後数カ月間の動向によって明らかになると見られる。
一方、2023年末に復活したFakeUpdatesはその後も順位を上げ、12月には世界中の組織の2%に影響を与えて首位となった。Nanocoreも6カ月連続で上位5位圏内を維持し、12月には3位となっている。また新たに、RamnitとGluptebaが上位10種の中に登場した。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べている。
「Qbotの拡散用インフラの解体から4カ月足らずの間に再びQbotの活動を目の当たりにしたことは、私たちにマルウェアキャンペーンの妨害が可能な一方で、その背後にいる脅威アクターは新たなテクノロジーに適応していくという事実を想起させるものです。組織がエンドポイントセキュリティ事前防止的アプローチを採用し、電子メールの発信元とその意図についてデューデリジェンス(適正評価手続き)を実施することが推奨されます」。
また、CPRによると、2023年12月に最も悪用された脆弱性は「Apache Log4jのリモートコード実行」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の46%に影響を及ぼした。3位には僅差で「Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)」が続き、世界的な影響は43%であった。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
12月の国内ランキングは3位以内に6つのマルウェアがひしめく結果となった。首位にNanocoreとRemcos、2位にAgentTeslaとFormbook、3位にLokibotとSmokeloaderが、それぞれ影響値2.38%、1.43%、0.95%で並んだ。
1.↑ Nanocore (2.38%) – Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬(RAT)で、2013年に初めて流行が観測された。このRATは、そのすべてのバージョンに、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えている。
1. ↑ Remcos(2.38%) – Remcosは2016年に初めて活動が確認されたRATで、スパムメールに添付された悪意あるMicrosoft Office ドキュメントを通じて拡散される。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されている。
2. ↔ AgentTesla(1.43%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
2. ↓ Formbook(1.43%) – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードして実行する。
3. ↑ Lokibot (0.95%)– LokibotはWindowsとAndroid OSの両方のバージョンを持つコモディティ情報窃取ツールで、2016年2月に初めて確認された。さまざまなアプリケーション、Webブラウザ、メールクライアント、PuTTYなどのIT管理ツールから認証情報を採取する。Lokibotはハッキングフォーラムで販売されており、そのソースコードが流出したため、多数の亜種が出現したと考えられている。2017年後半以降、Lokibotの一部のAndroid版には、情報盗み出し機能に加え、ランサムウェアの機能が搭載されている。
3. ↑ Smokeloader(0.95%)– SmokeLoaderは、感染したコンピュータを遠隔操作し、被害者の地理的位置に基づいて他のマルウェアをダウンロードおよびインストールしたり、FTPクライアント、ブラウザ、IMクライアント、ポーカークライアント、電子メールクライアントからパスワードを盗んだりするなど、さまざまな悪意のある活動を実行できるようにするトロイの木馬。さらに、UAC(ユーザアカウント制御)やいくつかのHIPSをバイパスすることができ、ウイルス対策ソリューションを無効にする可能性がある。拡散方法はいくつか確認されており、エクスプロイトキットから、「マクドナルドでの無料朝食の提供」を謳ったスパムキャンペーンなどが挙げられる。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
2023年12月、最も流行したマルウェアはFakeUpdatesとFormbookで、全世界の組織の2%に影響を及ぼした。3位にはNanocoreが、世界的な影響1%で続いている。
1. ↑ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↓ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードして実行する。
3. ↑ Nanocore – Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬(RAT)で、2013年に初めて流行が観測された。このRATは、そのすべてのバージョンに、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えている。
悪用された脆弱性のトップ
2023年12月、最も多く悪用された脆弱性は「Apache Log4jのリモートコード実行(CVE-2021-44228)」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の46%に影響を及ぼした。3位は「Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)」で、世界的な影響は43%であった。
1. ↑ Apache Log4jのリモートコード実行(CVE-2021-44228 – Apache Log4jには、リモート操作でコードを実行される脆弱性が存在している。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性がある。
2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるもの。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。
3. ↔ Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)- Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在している。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになる。
モバイルマルウェアのトップ
2023年12月も、引き続きAnubisが最も流行したモバイルマルウェアの地位に留まった。2位にAhMyth、3位にはHiddadがランクインしている。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
2. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。
3. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開している。主な機能は広告の表示だが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能。
世界的に最も攻撃されている業種、業界
2023年12 月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野であった。2位は「通信」、3位は「政府・軍関係」。
1. 教育・研究
2. 通信
3. 政府・軍関係
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されている。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供する。このインテリジェンスは、AIベースのエンジンと、チェック・ポイントのインテリジェンス・リサーチ部門であるCPRによる独自のリサーチ・データによって強化されている。
2023年12月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで閲覧が可能である。
出典:PRTimes チェック・ポイント・リサーチ、2023年12月に最も活発だったマルウェアを発表 Qbotが法執行機関による制圧から4カ月で復活