2024年6月に最も活発だったマルウェア
国内ではモジュール型トロイの木馬であるBMANAGERが初のランクインにして2位に。FakeUpdatesによる新しいキャンペーンにも要注意
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2024年6月の最新版Global Threat Index(世界脅威インデックス)を発表した。 6月のインデックスでは、CPRのリサーチャーがRaaS(サービスとしてのランサムウェア)の状況の変化を報告している。公開されているリークサイト(Shame sites)によると、比較的新しいランサムウェアグループであるRansomHubがLockbit3を追い抜き、最も活発なランサムウェアグループとなっている。一方、BadSpaceと名付けられたWindowsのバックドアマルウェアが新たに確認され、感染したWordPressのウェブサイトや虚偽のブラウザアップデートなどが拡散に関係していることが分かった。
LockBit3の衰退後、ランサムウェアグループ「RansomHub」が活発に
2月に行われたLockBit3に対する法執行措置の結果、4月中のLockBit3の被害者数はわずか27という過去最低数を記録した。その後、5月には被害者数170という原因不明の増加を見せたものの、6月には再び20を下回り、潜在的な被害者の減少を示している。
現在、多くのLockBit3の関連組織が他のRaaSグループの暗号化ツールを使用しており、他の脅威アクターによる被害の報告が増加している。2024年に初めて姿を現し、Knightランサムウェアの生まれ変わりと言われているRansomHubは、この6月に80組織近くの新たな被害者を出し、著しい隆盛を見せた。特筆すべきは、公表された被害者のうちアメリカの被害者はわずか25%で、ブラジル、イタリア、スペイン、イギリスが残りの大多数を占めていること。
国内ランキングでも上位をキープするFakeUpdatesに新たな動きが
その他の動向として、CPRのリサーチャーはFakeUpdates(別名SocGholi)の最近のキャンペーンに注目している。過去数ヶ月にわたり最も活発なマルウェアとして上位にランクインしているFakeUpdatesだが、新たにBadSpaceと呼ばれるバックドアマルウェアを配信していることが明らかになった。FakeUpdatesの拡散を促進しているのは第三者のアフィリエイトネットワークで、このネットワークは危険なウェブサイトからのトラフィックをFakeUpdatesのランディングページへとリダイレクトする。このランディングページでは、ユーザーにブラウザのアップデートと思われるファイルをダウンロードするよう促す。しかしこのダウンロードには、実際にはJScriptベースのローダーが含まれており、BadSpaceバックドアをダウンロードして実行してしまう。BadSpaceは検知を回避するために、高度な難読化技術とアンチサンドボックス技術を採用し、スケジュール化されたタスクによって持続的に稼働を維持する。そのコマンド&コントロール通信は暗号化されているため、傍受は困難である。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べている。
「LockBit3に対する執行措置は、望ましい影響をもたらしたようです。しかし、以前にも指摘した通り、LockBit3が衰退しても主導権が他のランサムウェアグループに移っただけであり、彼らは世界中の組織に対してランサムウェアキャンペーンによる攻撃を続けていくでしょう」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
国内ランキングは4月、5月に続きAndroxgh0stが国内企業の2.90%に影響を与え、首位に立った。続く2位には影響値1.63%でモジュール型トロイの木馬であるBMANAGERが初めてランキングの上位となった。そして、AgentTeslaが1.27%の国内企業に影響を与え、3位となっている。
1. ↔ Androxgh0st(2.90%) – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。
2. ↑BMANAGER(1.63%) – BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化している。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出す。
3. ↑AgentTesla(1.27%)– AgentTeslaは、キーロガーとパスワード窃取機能を持つ高度なRAT(リモートアクセス型トロイの木馬)。2014年から活動しており、AgentTeslaは被害者のキーボード入力やシステムクリップボードを監視・収集し、スクリーンショットを記録し、被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアントなど)を通じて認証情報を抽出する。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
6月には、FakeUpdatesが最も流行したマルウェアとなり、全世界の組織の7%に影響を及ぼした。続く2位にはAndroxgh0stがランクインし、世界的な影響は6%。また、3位はAgentTeslaで、世界的な影響は3%。
1. ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↔ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。
3. ↑ AgentTesla
悪用された脆弱性のトップ
1. ↑ Check Point VPNの情報漏えい(CVE-2024-24919) – Check Point VPNに情報漏えいの脆弱性が発見された。攻撃者はこの脆弱性によって、リモートアクセスVPNまたはモバイルアクセスが有効なインターネット接続ゲートウェイ上の特定の情報を読み取ることができる可能性がある。
2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものである。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。
3. ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っている。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。
モバイルマルウェアのトップ
6月、最も流行したモバイルマルウェアのランキングではJokerが首位に立ち、2位はAnubis、3位はAhMyth。
1. ↑ Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されている。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能。
2. ↓ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
3. ↓ AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。
世界的に最も攻撃されている業種、業界
6月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野。2位は「政府・軍関係」、3位は「保健医療」。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
最も活発なランサムウェアグループ
このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト(Shame Sites)から得られたインサイトに基づいている。6月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち21%に関与していた。2位はPlayで全体の8%を占め、3位のAkiraは5%を占めている。
1. RansomHub – RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS(サービスとしてのランサムウェア)。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げた。このマルウェアは、高度な暗号化手法を用いることで知られている。
2. Play – Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループ。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしている。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスする。ひとたび内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行する。
3. Akira – 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としている。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似している。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されている。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示される。
6月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで確認が可能である。
出典:チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に