2024年7月に最も活発だったマルウェアを発表

最も活発なランサムウェアグループは7月も引き続きRansomHub。最近のセキュリティソフトウェアのアップデートを悪用したWindows向けRemcosマルウェアのキャンペーンを確認

AIを活用したサイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下CPR）は、2024年7月の最新版Global Threat Index（世界脅威インデックス）を発表した。

7月、国内ランキングではAndroxgh0stが4月から継続して首位を維持している。Androxgh0stはグローバルランキングでも引き続き2位となっている。世界的に最も活発なランサムウェアグループのリストでは、RansomHubが首位を保った。LockBitは6月に大幅な減少を示したものの、7月には再び台頭し、2番目に活発なランサムウェアグループとなっている。また、CPRは、CrowdStrikeのアップデート問題に乗じたRemcosマルウェアの配布キャンペーンと、7月のトップマルウェアリストで再び首位となったFakeUpdatesによる一連の新たな手口を確認した。

RemcosとFakeUpdatesの新たな配布キャンペーン

Windows向けのCrowdStrike Falconのセンサーに発生した問題を契機とし、サイバー犯罪者によるcrowdstrike-hotfix.zipという名の悪意あるzipファイルの配布が確認された。このファイル内にはRemcosマルウェアの起動を引き起こすHijackLoaderが含まれており、Remcosは7月のトップマルウェアリストで7位にランクインしている。このキャンペーンは、指示系統にスペイン語を用いる企業を標的としており、フィッシング攻撃を目的とした偽ドメインが作成されていた。

一方、CPRは、7月のマルウェアランキングでも引き続き首位となったFakeUpdatesを使用する、新たな手口のキャンペーンを発見した。侵害されたウェブサイトを訪れるユーザーに対し、ブラウザのアップデートを求める偽の指示が表示されるが、この指示は、7月のランキングで9位となっているAsyncRATなどのリモートアクセス型トロイの木馬（RAT）のインストールを引き起こす。憂慮すべきことに、サイバー犯罪者は現在、BOINCの悪用を開始しています。BOINCは分散コンピューティングの一種であるボランティア・コンピューティングのためのプラットフォームで、悪用の目的は感染したシステムを遠隔でコントロールすることにある。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べている。
「LockBitやRansomHubのようなランサムウェアグループの継続的な活動と復活は、サイバー犯罪者が引き続きランサムウェアに注力している事実を強調しており、組織の業務継続性とデータセキュリティに広範な影響を及ぼす大きな課題となっています。Remcosマルウェアの配布にセキュリティソフトウェアのアップデートが悪用された最近の事例により、マルウェアの展開のためには利用できる機会を逃さないサイバー犯罪者の性質がいっそう浮き彫りとなりました。それにより、組織の防御はさらに脅かされています。こうした脅威に対抗するために、組織は多層的なセキュリティ戦略を採用する必要があります。すなわち、堅牢なエンドポイント保護、高い警戒による監視、ユーザー教育などによって、ますます大規模化するサイバー攻撃の猛威を軽減することが必要です」。

国内で活発な上位のマルウェアファミリー 

*矢印は、前月と比較した順位の変動を示している。

国内ランキングでは4月以降首位が続くAndroxgh0stが国内企業の2.82%に影響を与え、トップに留まった。続く2位にはFormbookが影響値2.56%で順位を上げ、6月にランキング上位に初登場したBMANAGERは順位を下げましたが、影響値は2.31%と増加を示しています。

1. ↔ Androxgh0st（2.82%）– Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、Apache Web Serverを標的にする。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集する。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在している。
2. ↑ Formbook（2.56%） – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行する。
3. ↓ BMANAGER（2.31%）– BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化している。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出す。

グローバルで活発な上位のマルウェアファミリー

*矢印は、前月と比較した順位の変動を示している。 

7月に最も流行したマルウェアはFakeUpdatesで、全世界の組織の7%に影響を及ぼしました。2位はAndroxgh0stで世界的な影響は5%、3位はAgentTeslaで世界的な影響は3%であった。

1. ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダー。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こす。
2. ↔ Androxgh0st 
3. ↔ AgentTesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出する。

悪用された脆弱性のトップ

1. ↑ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）– HTTPへのコマンドインジェクションの脆弱性が報告されている。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用する。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになる。
2. ↑ Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）– Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在している。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになる。
3. ↔ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）– HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っている。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。

モバイルマルウェアのトップ

7月、最も流行したモバイルマルウェアのランキングでは、引き続きJokerが首位に立ち、2位はAnubis、3位はAhMyth。 

1. ↔ Joker – JokerはGoogle     Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されている。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能である。
2. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
3. ↔ AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。

世界的に最も攻撃されている業種・業界

7月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「通信」であった。

1. 教育・研究
2. 政府・軍関係
3. 通信

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいている。 7月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち11%に関与していた。2位はLockbit3で全体の8%を占め、3位のAkiraは全体の6%を占めていた。

1. RansomHub – RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware     ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げた。このマルウェアは、高度な暗号化手法を用いることで知られている。
2. Lockbit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告された。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていない。
3. Akira – 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としている。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似している。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布される。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示される。

7月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで確認が可能である。

出典：PRTimes　チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表　国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認