1. HOME
  2. ブログ
  3. 4月に最も活発だったマルウェアとは

4月に最も活発だったマルウェアとは

Windows、Mac、Linuxを狙うトロイの木馬型マルウェア「Androxgh0st」が急増しグローバルでも2位に急浮上。LockBit3ランサムウェアは減少しつつも依然グローバルで首位に

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、2024年4月の最新版Global Threat Index(世界脅威インデックス)を発表した。

世界的にも急増の「Androxgh0st」が国内ランキングの首位に

4月、マルウェア「Androxgh0st」による攻撃が大幅に増加し、国内ランキングで首位、グローバルランキングでも2位に急浮上した。このマルウェアは、ボットネットを利用して機密情報を窃取するためのツールとして使用されていることが明らかになっている。一方LockBit3は、4月も依然として最も流行しているランサムウェアグループの位置に留まったものの、本年初頭に比べ検出率が55%低下し、世界的な影響値は20%から9%に減少している。

脅威研究者は、Androxgh0stを用いる脅威アクターが2022年12月に出現して以来、活動の監視を続けてきた。脆弱性CVE-2021-3129やCVE-2024-1709などを悪用するこの攻撃者は、遠隔操作を目的としてWebShellを展開する一方、認証情報を窃取するためボットネットの構築に注力している。これは、FBIとCISAが共同で発表したサイバーセキュリティ勧告(CSA)において指摘されている。特記すべきは、この脅威アクターがAdhublikaランサムウェアの配布と関連を持ってきた点。Androxgh0stの脅威アクターはLaravelアプリケーションの脆弱性を好んで悪用し、AWS、SendGrid、Twilioなどクラウドをベースとしたサービスの認証情報を奪っている。最近では、より広範なシステムを悪用するためのボットネット構築への注力の移行が兆候によって示唆されている。

LockBit3は法執行機関の制圧により後退

また、チェック・ポイントの脅威インデックスでは、二重恐喝型ランサムウェアグループが運営し、身代金の支払いを拒むターゲットへの圧力として被害者の情報を掲載するリークサイト(Shame sites)から得られるインサイトを紹介している。LockBit3は報告された攻撃の9%を占めて今一度ランキングの首位に立ち、Playが7%、8Baseが6%で続いている。今回トップ3に再登場した8Baseは最近の主張において、国連のITシステムに侵入し人事および調達関連の情報を流出させたとしている。LockBit3は首位に留まっているものの、このグループは最近、複数回にわたる後退を経験している。2月には、「オペレーション・クロノス」と銘打たれた複数の執行機関によるキャンペーンの一環として同グループのデータリークサイトが制圧された。一方、今月には同じ国際的な法執行機関が新たな作戦の詳細を発表、LockBit3を使用している194の関連組織を特定すると共に、グループのリーダーの身元を明らかにして制裁を行った。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べている。
「CPRの調査によるとLockBit3撲滅のための国際的な取り組みは成功したと見られ、2024年初頭以来、LockBit3の世界的な影響は50%以上減少しています。しかしそうした最近の望ましい進展に関わらず、組織は引き続き、ネットワーク、エンドポイント、電子メールのセキュリティを積極的に強化することによって、サイバーセキュリティの優先度を高めていく必要があります。多層防御の導入と、強固なバックアップ、リカバリー手順、インシデント対応計画の確立が、サイバーレジリエンスを高める上で重要な鍵であることに変わりはありません」

4月、世界的に最も悪用された脆弱性は「HTTPへのコマンドインジェクション」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の52%に影響を及ぼした。3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は45%であった。

国内で活発な上位のマルウェアファミリー 

*矢印は、前月と比較した順位の変動を示している。

国内ランキングはグローバルランキング2位に急浮上のAndroxgh0stが首位に立ち、2月から引き続き首位だったFormbookは3位となった。2位には4月のグローバルランキング首位となったFakeUpdatesが、で3月の国内ランキング3位から順位を上げている。

1.↑ Androxgh0st(3.53%) – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel     Framework、     Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。  

2.  ↑ FakeUpdates(2.02%)– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。

3. ↓ Formbook(1.51%)– FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードし、実行する。

グローバルで活発な上位のマルウェアファミリー

*矢印は、前月と比較した順位の変動を示している。

4月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の6%に影響を及ぼした。続く2位はAndroxgh0stで世界的な影響は4%、3位はQbotで、世界的な影響は3%であった。

1. ↔ FakeUpdates 

2. ↑ Androxgh0st

3. ↓ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。2022年以来、最も流行しているトロイの木馬のひとつとして台頭している。

悪用された脆弱性のトップ 

4月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも世界的な影響は52%。続く3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は45%であった。

1.↔ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されている。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用する。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになる。 

2.↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものである。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。

3.↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っている。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。

モバイルマルウェアのトップ

4月、最も流行したモバイルマルウェアはAnubisで、2位にはAhMyth、3位にはHiddadがランクインした。

1. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。

2. ↔ AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。

3.↑ Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開している。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能。

世界的に最も攻撃されている業種、業界
4月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」であった。

1.    教育・研究
2.    政府・軍関係
3.    保健医療

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト(Shame Sites)から得られたインサイトに基づいている。
4月、最も活発だったランサムウェアグループはLockbit3で、リークサイトで公表された攻撃のうち9%を首謀していた。続く2位はPlayで全体の7%、3位は8Base6%を占めている。

1. Lockbit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告された。LockBit3は様々な国の大企業や政府機関をターゲットにしているが、ロシアおよび独立国家共同体(CIS)を標的にした活動は確認されていない。2024年2月に法執行機関の摘発を受けたにも関わらず、     Lockbit3は現在も被害者に関する情報の公開を続けている。

2. Play – Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループである。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしている。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet     SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスする。ひとたび内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行する。

3. 8Base – 8Baseは、遅くとも2022年3月から活動が確認されているランサムウェア集団。2023年半ばに著しく活動を活発化させ、大きく知名度を上げた。このグループではランサムウェアのさまざまな亜種の使用が確認されているが、すべてに共通する要素はPhobosランサムウェアである。ランサムウェアに高度な技術を用いていることから明らかなように、8Baseの活動は洗練されており、二重恐喝の手法も駆使する。

4月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで確認ができる

出典:PRTimes チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!