チェック・ポイント・リサーチ、6年以上活動する不正な配信システムを特定し「VexTrio」と命名

January 2024’s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats（Check Point Research）より

　ポイント・ソフトウェア・テクノロジーズ株式会社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（CPR）は、2024年1月のGlobal Threat Index（世界脅威インデックス）を発表した。あわせて、同社が活動を特定し、命名した不正なトラフィック配信システム（TDS）の「VexTrio」についても解説している。

$null

VexTrioの活動を特定

　同社は1月、2017年から6年以上にわたる活動が確認されている不正なトラフィク配信システムの活動を特定し、VexTrioと名付けた。VexTrioは数十に及ぶ協力者と共に、高性能のTDSを通じて、悪意あるコンテンツを拡散している。

　VexTrioの活動はマーケティングで利用される合法的なアフィリエイトネットワークに類似するシステムを用いており、特定の脅威アクターや攻撃チェーンとの結びつきをうかがわせるものがほぼ存在しない。そのため、多くの場合検出が難しく、広範なネットワークと高度なオペレーションによって、重大なサイバーセキュリティリスクとなっているという。

　「サイバー犯罪者は、単なるハッカーから詐欺手法を構築するアーキテクトへと進化しており、VexTrioは、この分野がいかに商業的な利益追求型になっているかを再認識させる例の1つである」と、同社のリサーチ担当VPであるマヤ・ホロウィッツ氏はコメントしている。

　同レポートでは、「最も活発なマルウェアファミリー」「悪用された脆弱性のトップ」「最も流行したモバイルマルウェアのトップ」「最も攻撃されている業種、業界」「最も活発なランサムウェアグループ」の5項目について上位3件ずつを発表している。また、日本向けのプレスリリースでは、日本国内で最も活発なマルウェアファミリーの情報も追加されている。

最も活発なマルウェアファミリーは国内もグローバルも「FakeUpdates」

　日本でもグローバルでも、最も活発だったマルウェアファミリーは「FakeUpdates」（別名SocGholish）だった。JavaScriptで書かれたダウンローダーで、ペイロードが実行される前にディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、ほかの多くのマルウェアによるさらなる侵害を引き起こす。

　日本での2位、グローバルでの3位は「Formbook」。Windowsを標的とするインフォスティーラーで、強力な回避技術と比較的安価な価格を売りに、ハッキングフォーラムでは「Malware　as　a　Service（MaaS）」として販売されているという。さまざまなウェブブラウザーから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C＆Cサーバーの命令に従ってファイルをダウンロードし、実行することもできる。

　日本での3位は「Snatch」。RaaS（Ransomware as a Service）グループおよびマルウェアの名称で、2018年に初めて活動が確認された。脅迫を目的としたデータの窃取と暗号化を行い、二重脅迫を行う。

　グローバルでの2位は「Qbot」（別名Qakbot）。2008年に初めて確認されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やウェブブラウザーからのCookie情報の窃取、銀行アカウントアクティビティに対するスパイのほか、追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチ仮想マシン、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。

$null

最も悪用された脆弱性は「HTTPへのコマンドインジェクション」

　最も悪用された脆弱性は「HTTPへのコマンドインジェクション」（CVE-2021-43936、CVE-2022-24086）。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用し、成功すると、標的のマシン上で任意のコードを実行できるようになる。

　2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）。ウェブサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるもので、悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になる。

　3位は「HTTPヘッダーのリモートコード実行」（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。

$null

最も流行したモバイルマルウェアは「Anubis」

　最も流行したモバイルマルウェアは「Anubis」。Androidを標的として設計されたバンキング型トロイの木馬で、Googleストア上で公開されている数百種類のアプリから検出されている。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つさまざまな機能など、多くの機能が追加されている。

　2位は「AhMyth」。2017年に発見されたリモートアクセス型トロイの木馬で、アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。AhMythに感染したアプリをインストールすると、デバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。

　3位は「Hiddad」。Android端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開されている。主な機能は広告の表示だが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能。

最も攻撃されている業種、業界は「教育・研究」分野

　最も攻撃されている業界は「教育・研究」分野。2位は「政府・軍関係」、3位は「保健医療」となっている。

最も活発なランサムウェアグループは「LockBit3」

　最も活発だったランサムウェアグループは「LockBit3」で、公表された攻撃全体のうち20％を首謀していたという。RaaSモデルを用いるランサムウェアグループで、2019年9月に初めて報告され、さまざまな国の大企業や政府機関をターゲットにしているが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていない。サンドイッチチェーンのSubwayへの攻撃や、シカゴのセント・アンソニー病院への攻撃など、複数の事件を1月中に起こしている。

　2位は「8base」。遅くとも2022年3月から活動が確認されているランサムウェアグループで、2023年半ばに著しく活動を活発化させて知名度を上げた。同グループではランサムウェアのさまざまな亜種の使用が確認されているが、全てに共通する要素はPhobosランサムウェアだという。また、ランサムウェアに高度な技術が用いられ、活動が洗練されているという。

　3位は「Akira」。2023年初頭に初めて報告されたランサムウェアで、ファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、Conti v2と類似している。WindowsとLinuxを標的とし、感染したメールの添付ファイルやVPNエンドポイントのエクスプロイトなど、さまざまな手段を通じて配布されている。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示されることが特徴。