チェック・ポイント・ソフトウェア・テクノロジーズ/チェック・ポイント・リサーチ、2023年8月に最も活発だったマルウェアを発表

  • このエントリーをはてなブックマークに追加

新たなChromeLoaderキャンペーンで悪意あるブラウザ拡張機能が拡散される一方、FBIがQbotの解体作戦に成功したと発表。世界的に最も攻撃されている業界では、通信業界が保健医療業界を抜き2位にランクイン。

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/jp/ > 、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年8月の最新版Global Threat Index(世界脅威インデックス)を発表しました。今回のレポートでは、Chromeブラウザのユーザーを標的として悪意ある拡張機能を搭載した偽広告で拡散される、ChromeLoaderマルウェアの新たな亜種について報告されています。一方、世界的に最も攻撃されている業種・業界のリストでは通信業界が2位にランクインし、保健医療業界は今年初めてランキングから外れました。

ChromeLoaderは2022年に初めて確認されたマルウェアで、Google Chromeを標的としたブラウザハイジャッカーです。 8月の上位マルウェアファミリーのリストで第10位にランクインしたこのマルウェアは、偽のウェブ広告を通してブラウザに悪質な拡張機能を密かにインストールするよう設計されています。「Shampoo」と呼ばれる偽広告キャンペーンでは、騙された被害者はVBScriptファイルを実行するよう誘導され、悪意あるChrome拡張機能をインストールしてしまうことになります。ブラウザ上にインストールされると、この拡張機能は個人情報を収集したり、不要な広告でブラウジングを妨害したりします。

8月には、FBIがQbot(別名Qakbot)を対象にした世界的な作戦で大きな勝利を収めたと発表しました。この撲滅作戦「オペレーション・ダックハント(Operation Duck Hunt)」 では、FBIがボットネットの掌握に成功して、Qbotに感染したデバイスからマルウェアを除去し、また相当数の感染したデバイスを特定しました。Qbotは、ランサムウェア攻撃などの様々なサイバー犯罪活動に使用されるマルウェアの配信サービスへと進化しています。通常、フィッシング攻撃キャンペーンを通じて拡散し、他の脅威アクターと連携しています。Qbotは8月中も引き続き最も流行しているマルウェアでしたが、チェック・ポイントによれば、FBIの作戦後その影響力が大幅に減少したことが確認されています。

また、8月の世界的に最も攻撃されている業種・業界のランキングでは、2023年に入って初めて通信業界が保健医療業界を抜き、第2位にランクインしました。今年に入ってから通信業界の組織がサイバー攻撃に直面した例は複数あります。3月には、中国政府の支援を受けたサイバースパイ集団APT41が、中東の電気通信業界を標的とした攻撃を行ったことが確認されました。脅威アクターは、インターネットにアクセス可能なMicrosoft Exchangeサーバに侵入し、コマンドの実行、偵察、認証情報の窃取、ラテラルムーブメントやデータ流出などを行います。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。

「Qbotのテイクダウン作戦は、サイバー犯罪との闘いにおける重要なブレイクスルーとなりました。しかしながら、私たちは決して油断することはできません。。ひとつの脅威が倒れても、新たな別の脅威がその脅威を引継ぎ出現するためです。私たちは警戒を怠らず、協力し合い、あらゆる攻撃ベクトルに対して優れた予防措置的セキュリティを実践し続けるべきです」

また、CPRによると、8月に最も悪用された脆弱性は「HTTPヘッダーのリモートコード実行」で、全世界の組織の40%に影響を及ぼしました。続く2位は「HTTPへのコマンドインジェクション」で、世界的な影響は38%、3位には「MVPower CCTV DVRのリモートコード実行」が入り、世界的な影響は35%でした。

国内で活発な上位のマルウェアファミリー

*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。

8月の国内ランキングでは、7月に3位だったNanoCoreが2.08%の国内組織へ影響を及ぼし、1位へ順位をあげました。5月に続きQbotが国内組織の3.80%に影響を及ぼし首位に立ちました。2位にはRemcos(2.97%)、そしてグローバルランキングでも首位にあるFormbook(1.98%)が続く結果となりました。

1. ↑ NanoCore(3.96%)- Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬(RAT)で、2013年に初めて流行が観測されました。このRATはそのすべてのバージョンで、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えています。

2. ↓ Remcos(2.97%)- 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。

3.  ↔ Formbook(2.49%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。

グローバルで活発な上位のマルウェアファミリー

*矢印は前月と比較した順位の変動を示しています。

8月はQbotが世界的に最も流行したマルウェアとなり、全世界の組織の5%に影響を与えました。2位はFormbookで世界的な影響は4%、3位にはFakeupdatesが浮上し、世界的な影響は3%でした。

 

1.    ↔ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

2.    ↔ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。

3.    ↑ Fakeupdates – Fakeupdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。Fakeupdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

世界的に最も攻撃されている業種、業界

8月、世界的に最も攻撃されている業界は引き続き「教育・研究」でしたが、2位には初めて「通信」が浮上しました。3位は「政府・軍関係」でした。

1.    教育・研究

2.    通信

3.    政府・軍関係

悪用された脆弱性のトップ

8月、最も多く悪用された脆弱性は「HTTPヘッダーのリモートコード実行」で、全世界の組織の40%に影響を及ぼしました。続く2位は「HTTPへのコマンドインジェクション」で世界的な影響は38%、3位は「MVPower CCTV DVRのリモートコード実行」で世界的な影響は35%でした。

1.    ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

2.    ↑ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

3.    ↑ MVPower CCTV DVRのリモートコード実行(CVE-2016-20016) – MVPower CCTV DVRデバイスには、リモートコード実行の脆弱性が存在しています。この脆弱性が悪用されると、攻撃者は遠隔操作により影響を受けたシステム上で任意のコードを実行できる可能性があります。

モバイルマルウェアのトップ

8月も引き続きAnubisが最も流行したモバイルマルウェアの首位に留まりました。2位にはAhMyth、3位にはSpinOkが続いています。

1.    Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2.    AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3.    SpinOk – SpinOkは、スパイウェアとして機能するAndroidソフトウェアモジュールです。デバイス上に保存されたファイルの情報を収集し、悪意ある脅威アクターに転送する機能を有します。この悪質なモジュールは100以上のAndroidアプリ内に存在することが確認され、2023年5月までに4億2,100万回以上ダウンロードされたことが分かっています。

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/ai/ > は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

8月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/security/august-2023s-most-wanted-malware-new-chromeloader-campaign-spreads-malicious-browser-extensions-while-qbot-is-shut-down-by-fbi/ > でご覧いただけます。

本プレスリリースは、米国時間2023年9月11日に発表されたプレスリリース < https://www.checkpoint.com/press-releases/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/ > (英語)をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/ai/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

 

チェック・ポイントについて

チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

 

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・Twitter: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

 

本件に関する報道関係者からのお問い合わせ

チェック・ポイント広報事務局 (合同会社NEXT PR内)

Tel: 03-4405-9537 Fax: 03-4332-2354

E-mail: checkpointPR@next-pr.co.jp

 

 

注目記事:MVNOとは?初心者にもわかりやすく解説 「本当に安くなるの?」

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。