チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表　国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認

AIを活用したサイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、CPR）は、2024年7月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

7月、国内ランキングではAndroxgh0stが4月から継続して首位を維持しています。Androxgh0stはグローバルランキングでも引き続き2位となっています。世界的に最も活発なランサムウェアグループのリストでは、RansomHubが首位を保ちました。LockBitは6月に大幅な減少を示したものの、7月には再び台頭し、2番目に活発なランサムウェアグループとなっています。また、CPRは、CrowdStrikeのアップデート問題に乗じたRemcosマルウェアの配布キャンペーンと、7月のトップマルウェアリストで再び首位となったFakeUpdatesによる一連の新たな手口を確認しました。

RemcosとFakeUpdatesの新たな配布キャンペーン

Windows向けのCrowdStrike Falconのセンサーに発生した問題を契機とし、サイバー犯罪者によるcrowdstrike-hotfix.zipという名の悪意あるzipファイルの配布が確認されました。このファイル内にはRemcosマルウェアの起動を引き起こすHijackLoaderが含まれており、Remcosは7月のトップマルウェアリストで7位にランクインしています。このキャンペーンは、指示系統にスペイン語を用いる企業を標的としており、フィッシング攻撃を目的とした偽ドメインが作成されていました。

一方、CPRは、7月のマルウェアランキングでも引き続き首位となったFakeUpdatesを使用する、新たな手口のキャンペーンを発見しました。侵害されたウェブサイトを訪れるユーザーに対し、ブラウザのアップデートを求める偽の指示が表示されますが、この指示は、7月のランキングで9位となっているAsyncRATなどのリモートアクセス型トロイの木馬（RAT）のインストールを引き起こします。憂慮すべきことに、サイバー犯罪者は現在、BOINCの悪用を開始しています。BOINCは分散コンピューティングの一種であるボランティア・コンピューティングのためのプラットフォームで、悪用の目的は感染したシステムを遠隔でコントロールすることにあります。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「LockBitやRansomHubのようなランサムウェアグループの継続的な活動と復活は、サイバー犯罪者が引き続きランサムウェアに注力している事実を強調しており、組織の業務継続性とデータセキュリティに広範な影響を及ぼす大きな課題となっています。Remcosマルウェアの配布にセキュリティソフトウェアのアップデートが悪用された最近の事例により、マルウェアの展開のためには利用できる機会を逃さないサイバー犯罪者の性質がいっそう浮き彫りとなりました。それにより、組織の防御はさらに脅かされています。こうした脅威に対抗するために、組織は多層的なセキュリティ戦略を採用する必要があります。すなわち、堅牢なエンドポイント保護、高い警戒による監視、ユーザー教育などによって、ますます大規模化するサイバー攻撃の猛威を軽減することが必要です」

国内で活発な上位のマルウェアファミリー 
*矢印は、前月と比較した順位の変動を示しています。

国内ランキングでは4月以降首位が続くAndroxgh0stが国内企業の2.82%に影響を与え、トップに留まりました。続く2位にはFormbookが影響値2.56%で順位を上げ、6月にランキング上位に初登場したBMANAGERは順位を下げましたが、影響値は2.31%と増加を示しています。

1. ↔ Androxgh0st（2.82%）– Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2. ↑ Formbook（2.56%） – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

3. ↓ BMANAGER（2.31%）– BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬です。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む洗練されたマルウェア配信システムの使用へと進化しています。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部です。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出します。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。 

7月に最も流行したマルウェアはFakeUpdatesで、全世界の組織の7%に影響を及ぼしました。2位はAndroxgh0stで世界的な影響は5%、3位はAgentTeslaで世界的な影響は3%でした。

1. ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↔ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

3. ↔ AgentTesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

悪用された脆弱性のトップ

1. ↑ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

2. ↑ Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）– Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在しています。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。

3. ↔ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）– HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
7月、最も流行したモバイルマルウェアのランキングでは、引き続きJokerが首位に立ち、2位はAnubis、3位はAhMythでした。 

1. ↔ Joker – JokerはGoogle     Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。

2. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

3. ↔ AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

世界的に最も攻撃されている業種・業界
7月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「通信」でした。

1. 教育・研究

2. 政府・軍関係

3. 通信

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。 7月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち11%に関与していました。2位はLockbit3で全体の8%を占め、3位のAkiraは全体の6%を占めていました。

1. RansomHub – RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware     ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。

2. Lockbit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。

3. Akira – 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としています。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似しています。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されます。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示されます。

 

7月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（ https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（ https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ 

チェック・ポイント広報事務局 （合同会社NEXT PR内）

Tel: 03-4405-9537　Fax: 03-6739-3934

E-mail: checkpointPR@next-pr.co.jp