2024年5月に最も活発だったマルウェア
Phorpiexボットネットを用いた新たなランサムウェア拡散キャンペーンが猛威。短期間の休止から復活したLockbit3はランサムウェア攻撃の3分の1を占め再び優勢に
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、2024年5月の最新版Global Threat Index(世界脅威インデックス)を発表した。
Phorpiexボットネットによる新たなマルスパムキャンペーン
5月には、Phorpiexボットネットによるマルスパムキャンペーンが新たに発見された。これにより発信された数百万通のフィッシングメールには、LockBit Blackが含まれていた。LockBit Blackは、LockBit3をベースとするランサムウェア。一方、RaaS(サービスとしてのランサムウェア)グループであるLockBit3の急増も確認された。
Phorpiexボットネットの元来の運営者は、2021年8月に完全に活動を停止し、ソースコードを売却していた。しかしCPRは、2021年12月までに、このボットネットが分散型P2P(ピアツーピア)モデルで動作する、「Twizt」という名の新たな亜種として再出現していることを発見した。本年4月、ニュージャージーサイバーセキュリティ通信統合セル(NJCCIC) は、同月のCPRによる脅威インデックスで6位にランクインしているPhorpiexボットネットが、LockBit3ランサムウェアキャンペーンの一部として数百万通のフィッシングメールの送信に使われていた証拠を発見した。これらの電子メールにはZIPファイルが添付されており、その中にある詐欺的な.doc.scrファイルを実行すると、ランサムウェアの暗号化プロセスが開始される。このランサムウェアキャンペーンでは、主にカザフスタン、ウズベキスタン、イラン、ロシア、中国の1,500以上に及ぶ固有のIPアドレスが使用されていた。
LockBit3が再び支配的に
また、本調査では、二重恐喝型ランサムウェアグループが運営し、身代金の支払いを拒むターゲットへの圧力として被害者の情報を掲載しているリークサイト(Shame sites)から得られるインサイトを紹介している。5月、LockBit3は公表された攻撃の33%を占め、その支配的な位置付けを再び示した。ついで、Inc. Ransomが7%、Playが5%の検出率で続いている。Inc. Ransomは最近、英国レスター市議会の公共サービスを妨害した大規模なサイバーインシデントの主犯であると主張しており、3テラバイト以上のデータを盗み出し、広範囲にわたるシステム停止を引き起こしたとさる。
チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ(Maya Horowitz)は、次のように述べている。
「法執行機関は、7,000を超える LockBit復号化キーの公開に加え、LockBit3のリーダーや関係者の一人を摘発し、LockBit3に関わるサイバー犯罪集団を一時的な活動停止に追い込むことに成功しました。しかしそれでもまだ、LockBit3の脅威を完全に制圧するには十分ではありません。ランサムウェアは、サイバー犯罪者が用いる中でも最も破壊的な攻撃手法の一つです。ひとたびランサムウェアがネットワークに侵入し、情報を抜き取られてしまえば、標的となった側が取れる選択肢は限られます。特に、要求された身代金を支払う余裕がない場合にはなおさらです。だからこそ、組織はリスクに対する警戒を保ち、優先的に防止策を講じる必要があります」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
国内ランキングは4月に続きAndroxgh0stが国内企業の3.07%に影響を与え、首位に立った。続く2位には影響値0.95%で5種類のマルウェアが並んでいる。このうちFakeUpdatesは4月から引き続き2位にとどまり、Snatch、AgentTesla、Remcos、Qbotは順位を上げた。3位にはマルチプラットフォームのバックドア型マルウェアであるSysJokerがランクインした。
1. ↔ Androxgh0st(3.07%) – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。
2. ↔ FakeUpdates(0.95%)– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↑ Snatch(0.95%) – Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使する。
2. ↑ AgentTesla(0.95%)– Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
2. ↑ Remcos(0.95%)– 2016年に初めて出現したRAT。Remcosは、SPAMメールに添付された悪意のあるMicrosoft Office文書を通じて配布される。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されている。
2. ↑ Qbot(0.95%)- Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。2022年以来、最も流行しているトロイの木馬のひとつとして台頭している。
3. ↑ SysJoker(0.71%) – SysJokerは、 Windows、MacおよびLinuxを標的とするマルチプラットフォームのバックドア型マルウェア。
グローバルで活発な上位のマルウェアファミリー
5月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の7%に影響を及ぼした。続く2位はAndroxgh0stで世界的な影響は5%、3位はQbotで影響は3%であった。
1. ↔ FakeUpdates
2. ↔ Androxgh0st
3. ↔ Qbot
悪用された脆弱性のトップ
5月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、世界的な組織の50%に影響を及ぼした。続く2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は47%、3位は「Apache Log4jのリモートコード実行」で、影響は46%であった。
1. ↔ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されている。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用する。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになる。
2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものである。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。
3. ↑ Apache Log4jのリモートコード実行(CVE-2021-44228) – Apache Log4jには、リモート操作でコードを実行される脆弱性が存在している。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性がある。
モバイルマルウェアのトップ
5月、最も流行したモバイルマルウェアAnubisで、2位はAhMyth、3位にはHydraがランクインした。
1. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
2. ↔ AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。
3. ↑ Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬。
世界的に最も攻撃されている業種、業界
5月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野。2位は「政府・軍関係」、3位は「通信」。
1. 教育・研究
2. 政府・軍関係
3. 通信
最も活発なランサムウェアグループ
このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト(Shame Sites)から得られたインサイトに基づいている。5月、最も活発だったランサムウェアグループはLockBit3で、リークサイトで公表された攻撃のうち33%を首謀していた。続く2位はInc. Ransomで全体の7%を占め、3位のPlayは5%を占めている。
1. LockBit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告された。LockBit3は様々な国の大企業や政府機関をターゲットにしているが、ロシアおよび独立国家共同体(CIS)を標的にした活動は確認されていない。2024年2月に法執行機関の摘発を受けたにも関わらず、Lockbit3は現在も被害者に関する情報の公開を続けている。
2. Inc. Ransom – Inc. Ransomは、2023年7月に出現したランサムウェアグループによる恐喝作戦で、スピアフィッシング攻撃を実行し、脆弱なサービスを標的にしている。このグループは、ヘルスケア、教育、政府機関など複数の業界にまたがる、北米とヨーロッパの組織を主なターゲットとしている。Inc. Ransomのランサムウェアのペイロードは、複数のコマンドライン引数に対応し、マルチスレッドのアプローチによる部分暗号化を使用している。
3. Play – Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループ。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしている。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスする。ひとたび内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行する。
5月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで確認ができる。
出典:PRTimes チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
