2020年12月30日 Leave a Comment

2020 年のマルウェアを振り返る

1 min read

TALOS Japan

2020 年は何もかもが「正常」からかけ離れた 1 年でした。今年の初めは、オフィスでの勤務や対面会議、トレーニングといったあらゆる分野で、さまざまな意見が入り乱れました。その後ずっと、自分たちの身を守るために事態に順応することを強いられています。世界中の働く人々と、そうした人たちの情報を保護している IT やセキュリティの専門家も同様です。

攻撃者はこうしたすべての変化をチャンスだと捉えています。逼迫した医療機関や、オンライン学習への対応を急ぐ学校、そして在宅勤務により機密情報が個人のネットワークを介すようになった企業を標的にしました。その結果、ランサムウェア攻撃が急増し、迅速にデータを復旧して通常業務に戻れるよう何百万ドルもの身代金を払う企業がニュースの見出しを飾りました。

さらに、一連の課題や騒動が取りあげられた大統領選挙も記憶に新しいでしょう。

激動の一年を振り返るため、今年 Talos がお伝えした注目すべきマルウェアやセキュリティニュースなどを一覧にまとめました。一覧では関連記事へのリンクも貼られています。

	1 月 Talos が「JhoneRAT」と名付けた脅威が登場。主な標的はアラビア語圏です。複数の有名なファイルホスティングサービスを攻撃に利用することで、ブロックリストへの登録を回避しています。
	2 月悪意のある Microsoft Office ドキュメントを使用した新種の RAT「ObliqueRAT」を発見。東南アジアの外交機関や政府機関が標的となりました。2019 年 12 月以降に拡散されている別種の RAT「CrimsonRAT」と「ObliqueRAT 」との関連性も確認されています。
	3 月コロナ禍が各国を襲う。人々はリモートワークへの完全移行を余儀なくされました。コロナ禍は今年最大のニュースであり、ピークに達したのは 3 月中旬です。攻撃者は新型コロナに関するニュースに便乗してマルウェアを拡散し始めました。新型コロナや政府の対策に関するデマ攻撃も拡散。
	4 月デバイスを保護するために指紋認証を使用する際の問題点を Cisco Talos が指摘。Talos は複数の方法で指紋を複製し、特定のデバイスのロックを解除できるかテストしました。極めて重要なデータやデバイスを守る最後の砦として生体認証を使用すべきではない、というのが達した結論です。 Python をベースとする「PoetRAT」がコロナ禍に乗じてアゼルバイジャンの政府機関と一般ユーザを攻撃。同国で進行中の軍事衝突や内戦も攻撃の材料に利用されました。オンライン会議ソフトウェアの人気が急騰。マルウェアの拡散や妨害を狙う攻撃者の新たな標的になりました。一例として、Talos が発見した会議ソフトウェア「Zoom」の脆弱性が挙げられます。ただし、あらゆる種類の会議ソフトウェアで多数の脆弱性が見つかっています。マルスパム攻撃「Aggah」が拡大。この攻撃を介して Agent Tesla、njRAT、Nanocore RAT が拡散されています。
	5 月 Talos が「WolfRAT」と名付けた DenDroid の亜種がタイで拡散。WhatsApp、Facebook Messenger、LINE といったメッセージアプリを Android デバイスで使うユーザが標的にされています。ブラジルのユーザが「Astaroth」マルウェアファミリの標的に。YouTube を今までにない手口でコマンドアンドコントロール（C2）に利用し、検出の回避を図っています。
	6 月軍事関連文書を装った不正ドキュメントで、本格的な RAT を備えた Cobalt Strike ビーコンの拡散を狙う IndigoDrop が登場。不正ドキュメントを開くと攻撃マクロが実行され、高度にモジュール化されたマルウェアへの感染が段階的に進行します。 PROMETHIUM が StrongPity3 を利用して攻撃範囲を拡大。コロンビア、インド、カナダ、ベトナムを新たな標的として感染拡大を狙っています。
	7 月ランサムウェア攻撃の波がピークを迎える。特に注目を集めた WastedLocker では大手の企業や組織が標的になりました。その目的は世間の注目を集めて荒稼ぎをすることです。 11 月の大統領選挙に先立ち、選挙のセキュリティと偽情報について取り上げる一連の調査レポートの第一弾を Talos が発表。ボットネット「Prometei」が複数の新たな手口を使って拡散。Monero に特化した暗号通貨マイナーを仕込んでいます。
	9 月 Talos が「Salfram」と名付けた新たな攻撃により、Gozi ISFB、ZLoader、SmokeLoader、AveMaria など、さまざまなマルウェアペイロードが拡散。米国の学校が完全オンラインで再開するなか、オンラインの宿題代行詐欺の急増を発見。有償での論文作成と宿題代行を謳うサイトの多くが偽物であり、一部はマルウェアを配布していることが判明しました。「LodaRAT」に新しい機能と難読化手法が追加される。
	10 月暗号通貨マイニングボットネット「Lemon Duck」が活発化。サイバーセキュリティ専門家であれば簡単に発見できるものの、新しい手口により、エンドユーザが知らない間にコンピューティングリソースが不正に流用されます。 DoNot APT グループが新たなペイロードの配信方法を実験。配信には Google 社が提供する正規サービスが利用されているため、侵入先のネットワーク内では検出が困難です。米国連邦捜査局（FBI）と米国サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）、医療機関を狙う攻撃に関して警告。新型コロナの感染拡大を受けたランサムウェア攻撃の波に注意を呼びかけました。
	11 月 CRAT マルウェアの新しい亜種が登場。サンドボックスを回避する手口とモジュール化された新しいプラグインフレームワークを使用しています。 Emotet が 2020 年に活動再開。夏場にほぼ沈静化した後、世界中で活動が増え、10 月と 11 月には大規模な活動が確認されています。
	12 月暗号通貨マイナー「Xanthe」を発見。Docker 関連の脅威を追跡するためにシスコが設置したセキュリティハニーポットの 1 つに侵入を試みていたことがわかりました。

本稿は 2020 年 12 月 21 日に Talos Group のブログに投稿され12た「2020: The year in malware 」の抄訳です。

Authors

TALOS Japan

Tags:

コメントを書く

	1 月 Talos が「JhoneRAT」と名付けた脅威が登場。主な標的はアラビア語圏です。複数の有名なファイルホスティングサービスを攻撃に利用することで、ブロックリストへの登録を回避しています。
	2 月悪意のある Microsoft Office ドキュメントを使用した新種の RAT「ObliqueRAT」を発見。東南アジアの外交機関や政府機関が標的となりました。2019 年 12 月以降に拡散されている別種の RAT「CrimsonRAT」と「ObliqueRAT 」との関連性も確認されています。
	3 月コロナ禍が各国を襲う。人々はリモートワークへの完全移行を余儀なくされました。コロナ禍は今年最大のニュースであり、ピークに達したのは 3 月中旬です。攻撃者は新型コロナに関するニュースに便乗してマルウェアを拡散し始めました。新型コロナや政府の対策に関するデマ攻撃も拡散。
	4 月デバイスを保護するために指紋認証を使用する際の問題点を Cisco Talos が指摘。Talos は複数の方法で指紋を複製し、特定のデバイスのロックを解除できるかテストしました。極めて重要なデータやデバイスを守る最後の砦として生体認証を使用すべきではない、というのが達した結論です。 Python をベースとする「PoetRAT」がコロナ禍に乗じてアゼルバイジャンの政府機関と一般ユーザを攻撃。同国で進行中の軍事衝突や内戦も攻撃の材料に利用されました。オンライン会議ソフトウェアの人気が急騰。マルウェアの拡散や妨害を狙う攻撃者の新たな標的になりました。一例として、Talos が発見した会議ソフトウェア「Zoom」の脆弱性が挙げられます。ただし、あらゆる種類の会議ソフトウェアで多数の脆弱性が見つかっています。マルスパム攻撃「Aggah」が拡大。この攻撃を介して Agent Tesla、njRAT、Nanocore RAT が拡散されています。
	5 月 Talos が「WolfRAT」と名付けた DenDroid の亜種がタイで拡散。WhatsApp、Facebook Messenger、LINE といったメッセージアプリを Android デバイスで使うユーザが標的にされています。ブラジルのユーザが「Astaroth」マルウェアファミリの標的に。YouTube を今までにない手口でコマンドアンドコントロール（C2）に利用し、検出の回避を図っています。
	6 月軍事関連文書を装った不正ドキュメントで、本格的な RAT を備えた Cobalt Strike ビーコンの拡散を狙う IndigoDrop が登場。不正ドキュメントを開くと攻撃マクロが実行され、高度にモジュール化されたマルウェアへの感染が段階的に進行します。 PROMETHIUM が StrongPity3 を利用して攻撃範囲を拡大。コロンビア、インド、カナダ、ベトナムを新たな標的として感染拡大を狙っています。
	7 月ランサムウェア攻撃の波がピークを迎える。特に注目を集めた WastedLocker では大手の企業や組織が標的になりました。その目的は世間の注目を集めて荒稼ぎをすることです。 11 月の大統領選挙に先立ち、選挙のセキュリティと偽情報について取り上げる一連の調査レポートの第一弾を Talos が発表。ボットネット「Prometei」が複数の新たな手口を使って拡散。Monero に特化した暗号通貨マイナーを仕込んでいます。
	9 月 Talos が「Salfram」と名付けた新たな攻撃により、Gozi ISFB、ZLoader、SmokeLoader、AveMaria など、さまざまなマルウェアペイロードが拡散。米国の学校が完全オンラインで再開するなか、オンラインの宿題代行詐欺の急増を発見。有償での論文作成と宿題代行を謳うサイトの多くが偽物であり、一部はマルウェアを配布していることが判明しました。「LodaRAT」に新しい機能と難読化手法が追加される。
	10 月暗号通貨マイニングボットネット「Lemon Duck」が活発化。サイバーセキュリティ専門家であれば簡単に発見できるものの、新しい手口により、エンドユーザが知らない間にコンピューティングリソースが不正に流用されます。 DoNot APT グループが新たなペイロードの配信方法を実験。配信には Google 社が提供する正規サービスが利用されているため、侵入先のネットワーク内では検出が困難です。米国連邦捜査局（FBI）と米国サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）、医療機関を狙う攻撃に関して警告。新型コロナの感染拡大を受けたランサムウェア攻撃の波に注意を呼びかけました。
	11 月 CRAT マルウェアの新しい亜種が登場。サンドボックスを回避する手口とモジュール化された新しいプラグインフレームワークを使用しています。 Emotet が 2020 年に活動再開。夏場にほぼ沈静化した後、世界中で活動が増え、10 月と 11 月には大規模な活動が確認されています。
	12 月暗号通貨マイナー「Xanthe」を発見。Docker 関連の脅威を追跡するためにシスコが設置したセキュリティハニーポットの 1 つに侵入を試みていたことがわかりました。

2020 年のマルウェアを振り返る

1 月

2 月

3 月

4 月

5 月

6 月

7 月

9 月

10 月

11 月

12 月

Authors

TALOS Japan