原文のブログはこちらからご覧いただけます。
2021 年に確認された上位 11 種のマルウェアの系統は、組織のデータを窃取したり、組織のネットワークへのリモートアクセスを確立したり、場合によってはランサムウェア攻撃を実施したりする可能性があります。この結果は、最も広く蔓延しているマルウェアの脅威を分析した、複数の機関による最新レポートに基づいています。
これらのマルウェアの系統の大半は 5 年以上前から存在していますが、サイバー犯罪者は絶えずそのコードを進化させ、新たな亜種を生み出しています。実のところ、この傾向はネットワーク防御の担当者にとってはかえって好都合です。脅威アクターが既知のマルウェアの系統を使用し続けている場合、組織がそれらの攻撃を特定して軽減できるチャンスが高まるためです。
上位 11 種のマルウェアの系統リスト
このリストは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と豪州サイバーセキュリティセンター(ACSC)が 2022 年 8 月に作成したものです。BlackBerry の Threat Research チームは、これらのマルウェアの系統の多くが組織の環境にアクセスして被害をもたらすのを阻止する方法について、数多くの調査を実施してきました。本記事では、全体を通してこれらの調査結果を「BlackBerry® のリソース」としてリンクしています。ほとんどの場合、これらのリソースには侵入の痕跡(IOC)と YARA ルールが含まれています。
それではここから、2021 年に確認された上位のマルウェアの系統をご紹介します。ざっと目を通せるよう要約していますので、組織を保護するためにぜひご活用ください。
1. Agent Tesla RAT
概要:Agent Tesla は、メールクライアント、Web ブラウザー、ファイル転送プロトコル(FTP)サーバーからデータを窃取します。また、スクリーンショット、ビデオ、Windows® のクリップボードデータをキャプチャすることもあります。Agent Tesla は個人用のコンピューターを管理するための正規ツールという名目の下、オンラインで販売されています。
BlackBerry のリソース:Agent Tesla インフォスティーラ、https://blogs.blackberry.com/en/2021/06/blackberry-prevents-agent-tesla-malware-attacks
2. AZORult トロイの木馬
概要:AZORult は、侵害したシステムから情報を窃取するために使用されます。ブラウザーデータ、ユーザー認証情報、暗号資産情報を抜き出すツールとして、アンダーグラウンドのハッカーフォーラムで販売されています。
BlackBerry のリソース:Analyzing AZORult Infostealer Malware(AZORult インフォスティーラの解析)。米国保健福祉省(HHS)による AZORult の概要もご参照ください。
3. FormBook トロイの木馬
概要:FormBook は、ハッキングフォーラムで宣伝されているインフォスティーラ(情報窃取型マルウェア)です。キーロギングの機能や、ブラウザーやメールクライアントのパスワードをキャプチャする機能を備えています。
BlackBerry のリソース:情報窃取型マルウェア xLoader インフォスティーラとはなんだ ?、BlackBerry、情報窃取型マルウェア(インフォスティーラ)xLoader を未然に防御(注:xLoader は以前 FormBook として販売されていました)
4. Ursnif トロイの木馬
概要:Ursnif(別名 Gozi)は、金融情報を窃取するバンキング型トロイの木馬です。長年にわたって進化を続けており、永続化メカニズムや、サンドボックスと仮想マシンを回避する手法、さらにはディスク暗号化ソフトウェアを検索して鍵を抽出し、ファイルの暗号化を解除する機能を備えています。
BlackBerry のリソース:Ursnif InfoStealer Malware(Ursnif インフォスティーラ)、Cylance vs URSNIF Infostealer(Cylance vs. URSNIF インフォスティーラ)
5. LokiBot トロイの木馬
概要:LokiBot は、ユーザー認証情報、暗号資産ウォレット、その他の認証情報などの機密情報を窃取するトロイの木馬型マルウェアです。2020 年には、マルチプレイヤーゲーム「Fortnite」のランチャーを装った亜種が確認されています。
BlackBerry のリソース: Mystery Bot: Do You Do Your Banking on Your Phone?(Mystery Bot:携帯電話を狙ったバンキング型トロイの木馬)。LokiBot マルウェアに関する CISA の勧告も併せてご覧ください。
6. MOUSEISLAND ダウンローダ
概要:MOUSEISLAND は通常、Microsoft® Word 文書の埋め込みマクロの内部に存在し、他のペイロードをダウンロードします。場合によってはランサムウェア攻撃の初期段階を担うこともあります。
BlackBerry のリソース:Macros, to Block or Not To Block(マクロ — ブロックすべきか、せざるべきか)。malpedia の MOUSEISLAND のページもご参照ください。
7. NanoCore RAT
概要:NanoCore は、被害者からパスワードやメールなどの情報を窃取するために使用されます。また、悪意のあるユーザーがコンピューターの Web カメラを起動し、被害者を監視する場合もあります。
BlackBerry のリソース:WhisperGate の解析で発見、Discord を悪用する .NET スタブとは ? HHS による Remote Access Trojan Nanocore Poses Risk to HPH Sector(リモートアクセス型トロイの木馬 Nanocore が医療・公衆衛生部門にもたらすリスク)もご参照ください。
8. Qakbot トロイの木馬
概要:Qakbot(別名 QBot、Pinksliplot)は当初バンキング型トロイの木馬として発見されましたが、その後、偵察、水平展開、データの収集と抜き出し、ペイロードの配信を行うように機能が進化しています。マルウェアがモジュール化されているため、悪意のあるサイバーアクターがニーズに合わせて構成を変更できるようになっています。
BlackBerry のリソース:The Return of Qakbot Malware(Qakbot マルウェアの再来)、Cylance vs. Qakbot Malware(Cylance vs. Qakbot マルウェア)
9. Remcos RAT
概要:Remcos は、リモート管理と侵入テストのための正規のソフトウェアツールとして販売されています。Remcos という名は「Remote Control and Surveillance」(リモート制御および監視)の略称です。このツールはコロナ禍の最中、悪意のあるサイバーアクターによる大規模なフィッシングキャンペーンにおいて、個人データと認証情報を窃取するために利用されていました。Remcos は標的のシステムにバックドアをインストールするため、悪意のあるアクターはそれを用いて各種コマンドを発行し、管理者権限を獲得できます。すべての処理は、アンチウイルス製品を回避し、永続性を維持しながら、正規のプロセスとして実行されます。
リソース:Remcos に関する MITRE ATT&CK のページをご覧ください。
10. TrickBot
概要:TrickBot マルウェアは通常、ボットネットを形成するか、あるいは Conti ランサムウェアや Ryuk バンキング型トロイの木馬の初期アクセスを実現するために使用されます。TrickBot は巧妙かつ悪意のあるサイバーアクターのグループによって開発・運用されており、高度にモジュール化された多段階のマルウェア脅威へと進化しています。2020 年には、サイバー犯罪者が医療・公衆衛生(HPH)部門を TrickBot の標的とし、結果的にランサムウェア攻撃やデータの抜き出し、医療サービスの妨害を引き起こしていました。
BlackBerry のリソース:TrickBot Infostealer Malware(TrickBot インフォスティーラ)、Cylance vs. Smoke Loader and the Trickbot Trojan(Cylance vs. Smoke Loader および Trickbot トロイの木馬)。TrickBot マルウェアに関する共同 CSA も併せてご覧ください。
11. GootLoader
概要:GootLoader はマルウェアローダーであり、過去には GootKit マルウェアに関連付けられていました。開発者がその機能を更新するにつれ、GootLoader は特定の悪意のあるペイロードをダウンロードするだけの存在から、複数のペイロードを駆使するマルウェアプラットフォームへと進化しています。通常、ローダーである GootLoader はシステム侵害の第 1 段階を担っています。GootLoader の開発者は、検索エンジンのポイズニングを行うことで、Google 検索などの検索エンジンの結果で上位にランクされる Web サイトを作成または侵害する場合があります。
BlackBerry のリソース:GootLoader, From SEO Poisoning to Multi-Stage Downloader(SEO ポイズニングからマルチステージ型ダウンローダまでを駆使するマルウェア GootLoader の詳細解析)
CISA が推奨するマルウェアの軽減策
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、マルウェア攻撃を阻止する方法として以下の軽減策を強調した上で、何よりも「優れたサイバー衛生」が重要であるとしています。
- システムへのタイムリーなパッチ適用
- すべてのシステムへのパッチ適用(特に、悪用が判明している既知の脆弱性に対して)
- ユーザートレーニングの実施
- リモートデスクトッププロトコル(RDP)の保護
- データのオフラインバックアップの作成
- 多要素認証(MFA)の実施
BlackBerry 製品によるマルウェア対策
CylancePROTECT® は、マルウェアの未然防御、アプリケーションやスクリプトの制御、メモリの保護、デバイスポリシーの適用を自動化します。AI ベースのエンドポイント保護プラットフォーム(EPP)である本製品は、サイバー攻撃を阻止し、巧妙化した脅威に対する防御策を提供します。人間の手による介入や、インターネット接続、シグネチャファイル、ヒューリスティック、サンドボックスはいずれも必要ありません。
CylanceGUARD® は、サブスクリプションで提供される 24 時間 365 日体制のマネージド XDR(Extended Detection and Response)サービスです。弊社の専門アナリストがお客様のチームの延長として機能し、デバイス間のテレメトリを相関させ、実用的なインテリジェンスを提供することで、アラート疲れを最小化しながら脅威を迅速に予防します。