チェック・ポイント・リサーチ、2024年10月に最も活発だったマルウェアを発表 個人情報を狙う“インフォスティーラー”が急増
チェック・ポイント・ソフトウェア・テクノロジーズ 株式会社Lumma Stealerのような情報窃取型マルウェアが急増する一方、Necroなどのモバイルマルウェアも依然として猛威を振るい続けており、攻撃手法の高度化が浮き彫りに
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2024年10月の最新版Global Threat Index(世界脅威インデックス)を発表しました。本レポートでは、インフォスティーラーの台頭と、サイバー犯罪者による攻撃手法の高度化が進んでいることを明らかにしています。
リサーチャーたちは先月、偽のCAPTCHA画面を利用してLumma Stealerマルウェアを拡散させる新たな感染経路を発見しました。Lumma Stealer は、10月のマルウェアランキングで4位に上昇しています。この攻撃は世界中で確認されており、主に2つの経路で感染が広がっています。1つは改ざんされたゲームのダウンロードリンクを通じた感染、もう1つはGitHubユーザーを狙った新手のフィッシングメールによる感染です。攻撃者は被害者のクリップボードに悪意のあるスクリプトをコピーさせ、それを実行するよう誘導します。この手法は、サイバー犯罪者がパスワードなどの重要な情報を盗み出すための効果的な方法として、急速に広がりを見せています。このように、インフォスティーラーといって情報を窃取するタイプのマルウェアが、今後さらに増加することが懸念されています。
モバイルマルウェアでは、Necroの新バージョンが重大な脅威として浮上し、モバイルマルウェアのランキングで2位にランクインしています。Necroは、Google Playストアで入手可能なゲームMODを含む、人気の高いアプリケーションに感染し、累計で1,100万台以上のAndroidデバイスに影響を及ぼしています。このマルウェアは、検出を回避するために難読化技術を使用し、さらにステガノグラフィ(データや物理的なオブジェクの中に別の情報を密かに埋め込む技術)によって、悪意のあるプログラムを隠蔽しています。Necroは一度起動すると、目に見えない場所で広告を表示して自動的にクリックし、さらには被害者が知らないうちに有料サービスに登録します。これは、攻撃者が金銭を得るための手口がますます巧妙化していることを表しています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、現在の脅威のランドスケープについて次のように述べています。
「インフォスティーラーが高度化し増加している現状は、サイバーセキュリティの新たな課題を突きつけています。サイバー犯罪者たちは常に手口を進化させ、新しい攻撃手法を編み出しています。組織は従来の防御策だけでは不十分であり、これらの執拗な脅威に効果的に対処するために、新たな脅威を予測し、柔軟に対応できるセキュリティ対策を導入する必要があります」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
9月に続きAndroxgh0stが国内企業の3.39%に影響を与え、1位でした。また、2位と3位は僅差ですが、モジュール型トロイの木馬であるBMANAGERが1.98%で4ヵ月ぶりに2位に浮上し、FakeUpdatesは1.69%で先月に続いて3位でした。
1. ↔ Androxgh0st(3.39%) - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。
2. ↑ BMANAGER(1.98%) - BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬です。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化しています。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部です。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出します。
3. ↔ FakeUpdates(1.69%)- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
10月に最も流行したマルウェアは引き続きFakeUpdatesで、全世界の組織の6%に影響を及ぼしました。2位は Androxgh0stで世界的な影響は5%、3位はAgentTeslaで世界的な影響は4%でした。
1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。
2. ↔ Androxgh0st - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。
3. ↑ AgentTesla - AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
悪用された脆弱性のトップ
1. ↑Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
2. ↓HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
3. ↑Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)- Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在しています。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。
モバイルマルウェアのトップ
10月に最も流行したモバイルマルウェアのランキングでは、引き続きJokerが1位で、2位にNecroが浮上し、先月2位だったAnubisは3位で順位を落としました。
1. ↔ Joker - JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。
2. ↑ Necro - NecroはAndroid向けのトロイの木馬型ドロッパーで、他のマルウェアをダウンロードしたり、迷惑広告を表示したり、有料のサブスクリプションサービスの料金を請求して金銭を盗んだりします。
3. ↓ Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
世界的に最も攻撃されている業種、業界
10月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「通信」でした。
1. 教育・研究
2. 政府・軍関係
3. 通信
最も活発なランサムウェアグループ
このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト(Shame Sites)から得られたインサイトに基づいています。10月に最も活発だったランサムウェアグループは、引き続きRansomHubで、リークサイトで公表された攻撃のうち17%に関与していました。続く2位はPlayで全体の10%を占め、3位のMeow は5%を占めていました。
1. RansomHub - - RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS(サービスとしてのランサムウェア)です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。
2. Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。
3. Meow - MeowランサムウェアはContiランサムウェアをベースとした亜種で、感染したシステム上の様々なファイルを暗号化し、それらに拡張子「.MEOW」を付加することで知られています。「readme.txt」というファイル名のランサムノート(身代金を要求する文書)を残し、被害者に対して電子メールまたはテレグラムを通じて攻撃者に連絡を取り、身代金の交渉をするよう指示します。Meowランサムウェアは、保護されていないRDP設定、電子メールスパム、悪意あるダウンロードなど様々な攻撃ベクトルを通じて拡散し、ChaCha20暗号化アルゴリズムを使用して「.exe」ファイルとテキストファイルを除く各種ファイルをロックします。
本プレスリリースは、米国時間2024年11月11日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
提供元:PRTIMES