チェック・ポイントの最新のGlobal Threat Indexに基づく8月のマルウェア・ランキングでは、バンキング型トロイの木馬Ramnitを利用した攻撃が急増していることが報告されています。2018年8月のThreat Indexでは、Ramnitが第6位に急上昇しています。2018年6月から、バンキング型トロイの木馬が倍増する中でも、Ramnitは最も検出数の多い存在となっています。

Ramnitのグローバルでの検出数は、この数か月間で倍増していますが、その背景には、感染マシンをプロキシ・サーバとして悪用する大規模キャンペーンの存在があります(詳細については、チェック・ポイントのリサーチ・ブログをご覧ください。)

手っ取り早く金銭的利益を得るためにバンキング型トロイの木馬を使う攻撃が夏に急増するのは、これで2年連続となります。偶然と思われるかもしれませんが、このような傾向は決して無視できません。ハッカーは、その時々でどのような攻撃が最も効果的かを正確に把握しているのです。つまり攻撃者は、夏の間のインターネット・ユーザの動向から、「この時期はこの攻撃手法が有効」と判断したと考えられるのです。この事実は、金銭的利益を狙うハッカーの執拗さ、巧妙さを明確に示しています。

バンキング型トロイの木馬やその他の攻撃による被害を防ぐには、有名なマルウェア・ファミリーのサイバー攻撃と最新の脅威のどちらにも対応できる多層防御のサイバーセキュリティ戦略が必要不可欠です。

2018年8月のマルウェア・ファミリー上位10種では、世界中の組織の17%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ6%の組織に影響を与えたDorkbotとAndromedaがランクインしています。

2018年8月のマルウェア・ファミリー上位10種:
*矢印は前月からのランキングの変動を表しています。

  1. Coinhive – このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
  2. Dorkbot – リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
  3. Andromeda – 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
  4. Cryptoloot – 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
  5. JSEcoin – Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
  6. Ramnit – バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。
  7. XMRig – XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
  8. Roughted – 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
  9. Conficker – 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
  10. Nivdort – パスワードの収集、システム設定の改変、追加マルウェアのダウンロードなどに使用される多目的ボットです(別名Bayrob)。通常はスパム・メール経由で拡散しますが、受信者のアドレスがバイナリにエンコードされているため、各ファイルは一意となっています。

組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでLotoor、Triadaという順になっています。

2018年8月のモバイル・マルウェア上位3種:

  1. Lokibot – 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
  2. Lotoor – Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
  3. Triada – ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。

チェック・ポイントの研究者は、最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」、36%に影響を与えたCVE-2017-5638という順になっています。

2018年8月の脆弱性上位3種:

  1. Microsoft IIS WebDAVサービスのScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) – Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
  2. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) – OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
  3. D-Link DSL-2750Bにおけるリモート・コード実行 – D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスです。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアをを観測、認識しています。

 

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間9月6日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。