8月の最多検出マルウェア、情報窃盗型マルウェア「Formbook」が首位
[21/09/27]
提供元:@Press
提供元:@Press
包括的なサイバーセキュリティプラットフォーマーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下 チェック・ポイント、 https://www.checkpoint.co.jp/ )の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research、以下 CPR)は、2021年8月のレポート「Global Threat Index(世界の脅威指標)」を発表しました。本レポートでは、これまで3か月連続首位だったTrickbotが2位に転落し、Formbookが最多検出マルウェアになっています。
8月は、毎年夏になると活動を休止するとされるバンキング型トロイの木馬のQbotが、常連だったトップ10から姿を消しました。一方で、リモートアクセス型トロイの木(RAT)馬のRemcosが、2021年で初めてランク入りし6位となりました。
Formbookは2016年に初めて検出され、様々なウェブブラウザからの認証情報の入手、スクリーンショットの収集、キーストロークの監視・記録などに加えて、コマンド&コントロール(C&C)サーバからの命令を通じてファイルのダウンロードや実行が可能なマルウェアです。最近では、新型コロナウイルスに関連したキャンペーンやフィッシングメールを経由して配布されており、2021年7月のCPRの報告によると、Formbookから派生した新型亜種マルウェアのXLoaderもmacOSユーザを標的に活動しています。
チェック・ポイントのリサーチ担当VPを務めるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。「Formbookはアセンブリ言語を挿入したC言語でコード化されており、検出を回避しリサーチャの解析を困難にする様々な仕掛けが含まれています。多くはフィッシングメールや添付ファイルによって展開されるため、見覚えのない送信者から発信されたメールや、不審なメールに常に警戒を怠らないことが、Formbookの感染に対する最良の予防手段になります。これまでと同様に、どこか怪しいと感じるメールは、危険なものである可能性が高いと考えるべきです。」
本レポートでは、今月の最も悪用されている脆弱性が「Webサーバ上のGitリポジトリにおける情報漏洩」で、世界中の企業・組織の45%がこの脆弱性の影響を受けたことを明らかにしています。その次に多い脆弱性が、「HTTPヘッダーリモートコード実行」(43%)、3位は「Dasan GPONルータにおける認証バイパス」(40%)です。
■8月のマルウェア・ファミリー上位3種
*矢印は前月からのランキングからの変動を表しています。
今月はFormbookが最も多用されたマルウェアで、世界中の企業・組織のうち4.5%に影響を与えています。次に多かったのがTrickbotとAgent Teslaで、それぞれ4%と3%の組織がその影響を被っています。
1. ↑ Formbook ― 情報窃盗型マルウェアFormbookは様々なウェブブラウザから認証情報の入手、スクリーンショットの収集、キーストロークの監視・記録などに加えて、C&Cサーバからの命令を通じてファイルのダウンロードや実行が可能なマルウェアです。
2. ↓ Trickbot ― モジュール型ボットネット・バンキング型トロイの木馬のTrickbotは繰り返しアップデートを施され、新しい能力、機能、配布ベクトルを獲得しています。柔軟性が高く、多目的キャンペーンの一環として配布するなどのカスタマイズが可能なマルウェアとなっています。
3. ↑ Agent Tesla ― Agent Teslaは、キーロガーやパスワード窃取の機能を持つ高度なリモートアクセス型トロイの木馬(RAT)です。被害者のキーボード入力やシステムのクリップボードを監視して情報を収集し、スクリーンショットを記録したり、PCなどのデバイスにインストールされているソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookのメールクライアントなど)の認証情報を流出させたりします。
■2021年8月の脆弱性上位3種
「Webサーバ上のGitリポジトリにおける情報漏洩」が今月で最も多く悪用されている脆弱性で、世界中の企業や組織の45%に影響を与えています。その次に多いのが全世界で43%に影響を与えた脆弱性「HTTPヘッダーリモートコード実行」、3位は40%の「Dasan GPONルータにおける認証バイパス」です。
1. ⇔ Webサーバ上のGitリポジトリにおける情報漏洩 ― Gitリポジトリに見つかった情報漏洩の脆弱性です。この脆弱性を悪用された場合、アカウント情報が意図せず漏洩する可能性があります。
2. ⇔ HTTPヘッダーリモートコード実行(CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) ― HTTPヘッダーは、HTTPリクエストを通じてクライアントとサーバが追加情報を送受信できるようになっています。攻撃者は脆弱なHTTP ヘッダーを操作して遠隔で被害者のデバイス上に任意コードを実行する可能性があります。
3. ↑ Dasan GPONルータにおける認証バイパス(CVE-2018-10561) ― Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。
■2021年8月のモバイルマルウェア上位3種
今月はAlienBotとFluBotを抑え、xHelperがモバイル端末マルウェアで最多検出になりました。
1. xHelper ― xHelper は2019年3月より出回っている悪意あるアプリケーションで、他の不正アプリのダウンロードや広告表示を実行します。ユーザから気付かれないようにモバイル端末に入り込み、アンインストールしても勝手に再インストールされるおそれがあります。
2. AlienBot ― AlienBotマルウェア・ファミリーは、サイバー攻撃者が遠隔で正規の金融関連アプリケーションに悪意あるコードを挿入し土台とすることができる、Android向けの「サービスとしてのマルウェア(MaaS)」です。攻撃者は被害者のアカウント情報へのアクセスを獲得し、最終的にはデバイスの完全制御に至ります。
3. FluBot ― FluBotはAndroid向けのボットネット・マルウェアで、主に宅配業者を騙るフィッシングSMSで配布されます。ユーザがメッセージのリンクをクリックしてしまうと、FluBotがインストールを開始し、携帯電話内のあらゆる個人情報に不正アクセスできるようになってしまいます。
Global Threat Indexの基盤となるのは、チェック・ポイントが運用するThreatCloud脅威インテリジェンスの情報です。ThreatCloud脅威インテリジェンスは世界中のネットワーク、エンドポイント、モバイル端末中の何億個ものセンサから成るリアルタイム脅威インテリジェンスを提供しています。このインテリジェントは、AIに基づくエンジンとCPRのみが保有する調査データによって支えられています。
8月のマルウェアの上位10種の詳細リストは、チェック・ポイントのブログ(英語)で確認できます。
以上
■チェック・ポイントの調査結果をフォロー
ブログ : https://research.checkpoint.com/
ツイッター: https://twitter.com/_cpresearch_
■Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( https://www.checkpoint.com/ )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。
世界の10万以上の組織・企業がチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( https://www.checkpoint.com/jp/ )は、1997年10月1日設立、東京都港区に拠点を置いています。
8月は、毎年夏になると活動を休止するとされるバンキング型トロイの木馬のQbotが、常連だったトップ10から姿を消しました。一方で、リモートアクセス型トロイの木(RAT)馬のRemcosが、2021年で初めてランク入りし6位となりました。
Formbookは2016年に初めて検出され、様々なウェブブラウザからの認証情報の入手、スクリーンショットの収集、キーストロークの監視・記録などに加えて、コマンド&コントロール(C&C)サーバからの命令を通じてファイルのダウンロードや実行が可能なマルウェアです。最近では、新型コロナウイルスに関連したキャンペーンやフィッシングメールを経由して配布されており、2021年7月のCPRの報告によると、Formbookから派生した新型亜種マルウェアのXLoaderもmacOSユーザを標的に活動しています。
チェック・ポイントのリサーチ担当VPを務めるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。「Formbookはアセンブリ言語を挿入したC言語でコード化されており、検出を回避しリサーチャの解析を困難にする様々な仕掛けが含まれています。多くはフィッシングメールや添付ファイルによって展開されるため、見覚えのない送信者から発信されたメールや、不審なメールに常に警戒を怠らないことが、Formbookの感染に対する最良の予防手段になります。これまでと同様に、どこか怪しいと感じるメールは、危険なものである可能性が高いと考えるべきです。」
本レポートでは、今月の最も悪用されている脆弱性が「Webサーバ上のGitリポジトリにおける情報漏洩」で、世界中の企業・組織の45%がこの脆弱性の影響を受けたことを明らかにしています。その次に多い脆弱性が、「HTTPヘッダーリモートコード実行」(43%)、3位は「Dasan GPONルータにおける認証バイパス」(40%)です。
■8月のマルウェア・ファミリー上位3種
*矢印は前月からのランキングからの変動を表しています。
今月はFormbookが最も多用されたマルウェアで、世界中の企業・組織のうち4.5%に影響を与えています。次に多かったのがTrickbotとAgent Teslaで、それぞれ4%と3%の組織がその影響を被っています。
1. ↑ Formbook ― 情報窃盗型マルウェアFormbookは様々なウェブブラウザから認証情報の入手、スクリーンショットの収集、キーストロークの監視・記録などに加えて、C&Cサーバからの命令を通じてファイルのダウンロードや実行が可能なマルウェアです。
2. ↓ Trickbot ― モジュール型ボットネット・バンキング型トロイの木馬のTrickbotは繰り返しアップデートを施され、新しい能力、機能、配布ベクトルを獲得しています。柔軟性が高く、多目的キャンペーンの一環として配布するなどのカスタマイズが可能なマルウェアとなっています。
3. ↑ Agent Tesla ― Agent Teslaは、キーロガーやパスワード窃取の機能を持つ高度なリモートアクセス型トロイの木馬(RAT)です。被害者のキーボード入力やシステムのクリップボードを監視して情報を収集し、スクリーンショットを記録したり、PCなどのデバイスにインストールされているソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookのメールクライアントなど)の認証情報を流出させたりします。
■2021年8月の脆弱性上位3種
「Webサーバ上のGitリポジトリにおける情報漏洩」が今月で最も多く悪用されている脆弱性で、世界中の企業や組織の45%に影響を与えています。その次に多いのが全世界で43%に影響を与えた脆弱性「HTTPヘッダーリモートコード実行」、3位は40%の「Dasan GPONルータにおける認証バイパス」です。
1. ⇔ Webサーバ上のGitリポジトリにおける情報漏洩 ― Gitリポジトリに見つかった情報漏洩の脆弱性です。この脆弱性を悪用された場合、アカウント情報が意図せず漏洩する可能性があります。
2. ⇔ HTTPヘッダーリモートコード実行(CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) ― HTTPヘッダーは、HTTPリクエストを通じてクライアントとサーバが追加情報を送受信できるようになっています。攻撃者は脆弱なHTTP ヘッダーを操作して遠隔で被害者のデバイス上に任意コードを実行する可能性があります。
3. ↑ Dasan GPONルータにおける認証バイパス(CVE-2018-10561) ― Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。
■2021年8月のモバイルマルウェア上位3種
今月はAlienBotとFluBotを抑え、xHelperがモバイル端末マルウェアで最多検出になりました。
1. xHelper ― xHelper は2019年3月より出回っている悪意あるアプリケーションで、他の不正アプリのダウンロードや広告表示を実行します。ユーザから気付かれないようにモバイル端末に入り込み、アンインストールしても勝手に再インストールされるおそれがあります。
2. AlienBot ― AlienBotマルウェア・ファミリーは、サイバー攻撃者が遠隔で正規の金融関連アプリケーションに悪意あるコードを挿入し土台とすることができる、Android向けの「サービスとしてのマルウェア(MaaS)」です。攻撃者は被害者のアカウント情報へのアクセスを獲得し、最終的にはデバイスの完全制御に至ります。
3. FluBot ― FluBotはAndroid向けのボットネット・マルウェアで、主に宅配業者を騙るフィッシングSMSで配布されます。ユーザがメッセージのリンクをクリックしてしまうと、FluBotがインストールを開始し、携帯電話内のあらゆる個人情報に不正アクセスできるようになってしまいます。
Global Threat Indexの基盤となるのは、チェック・ポイントが運用するThreatCloud脅威インテリジェンスの情報です。ThreatCloud脅威インテリジェンスは世界中のネットワーク、エンドポイント、モバイル端末中の何億個ものセンサから成るリアルタイム脅威インテリジェンスを提供しています。このインテリジェントは、AIに基づくエンジンとCPRのみが保有する調査データによって支えられています。
8月のマルウェアの上位10種の詳細リストは、チェック・ポイントのブログ(英語)で確認できます。
以上
■チェック・ポイントの調査結果をフォロー
ブログ : https://research.checkpoint.com/
ツイッター: https://twitter.com/_cpresearch_
■Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( https://www.checkpoint.com/ )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。
世界の10万以上の組織・企業がチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( https://www.checkpoint.com/jp/ )は、1997年10月1日設立、東京都港区に拠点を置いています。