脅威リサーチ

2023 年のマルウェア：この 1 年の主なサイバーセキュリティ事例のまとめ

TALOS Japan
2023年12月29日

サイバーセキュリティの世界で 2023 年に学んだことがあるとすれば、それはセキュリティの世界の悪者を数え上げることはできない、ということです。

ボットネットは撲滅したと思っても何度も復活し、ランサムウェアの仕掛人はデータを盗んで恐喝することでお金を稼ぐ新たな方法を発見しています。10 年以上前から存在する攻撃者やマルウェアも時代に即して生き延びる方法を見つけ出しています。

毎日新たなセキュリティ脅威が見出しを賑わせているように思えます。そこで例年のように今年も年末にいったんこれらを整理し、Talos の新しい調査結果や読者の皆様が興味を持った記事も含めて、Talos が今年取り上げたサイバーセキュリティの主要な事例を振り返りたいと思います。

	Microsoft が Office 文書のマクロをデフォルトでブロックするようになりました。そのため攻撃者は、ユーザーに気付かれずにマルウェアや悪意のあるコードを実行するためのおとり文書として使用する、新しいファイル形式を見つけなければならなくなりました。2023 年の初め、攻撃者はおとりで使用するファイルを Office 文書から Shell Link（LNK）ファイルへシフトしました。 Shell Link の場合、セキュリティ研究者は、LNK メタデータによって提供される情報を利用できるようになります。Talos ではこのデータを利用して、Qakbot ボットネットと Gamaredon の攻撃者に関する新情報、および複数の攻撃者間のこれまで知られていなかったつながりを明らかにしました。
	攻撃者は、ユーザーに対して要求した身代金を支払わせて収益を得ようとする攻撃において「MortalKombat」ランサムウェアと Laplas Clipper マルウェアを一緒に展開しました。この攻撃に関連する暗号化画面と身代金要求のメールには、ビデオゲーム「Mortal Kombat」シリーズの画像が使用されており、これがランサムウェアの名前の由来となっています。Talos の調査によると、この攻撃者は個人ユーザーから大規模組織まで、あらゆる相手を標的としています。
	Prometei ボットネットを展開する攻撃者は、新しい機能やマルウェアの検出防止方法を追加しながら、その手口のレベルアップを続けています。Talos は、このボットネットの「バージョン 3」と特定したものについて 3 月に報告しました。このバージョンには、代替 C2 ドメイン生成アルゴリズム（DGA）、自己更新メカニズム、被害者のホスト上に展開される Web シェル付きの Apache Webserver のバンドルバージョンなどが含まれています。この原稿を執筆している時点で、このボットネットの感染は 1 万台以上のマシンに広がっています。他のボットネットのニュースによると、しばらく目立った活動はしていなかった、悪名高い Emotet マルウェアが再びネット上に出現しました。今回は悪意のある Microsoft Word 文書をおとりとして展開しました。Emotet は、数か月程度の短期間活動を休止した後、再びネット上に出現することで有名です。Emotet の最新の攻撃では、従来使用されたことがない感染チェーンが使われていました。 Talos は、アゼルバイジャン、タジキスタン、キルギスタンなどの独立国家共同体（CIS）の政府機関やエネルギー事業者を標的とした、「YoroTrooper」と呼ばれる新たな攻撃者を発見しました。YoroTrooper の活動の中心は、これらの団体から機密情報を窃取することのようです。Talos は YoroTrooper マルウェアと TTP について 2023 年に何度も記事にしており、年末までその活動を注視し続けています。
	今年初めにリリースされていた情報窃取マルウェア Typhon Reborn について、Talos は新たに発見された「V2」バージョンの情報を公開しました。最新バージョンでは、分析回避機能と仮想マシン（VM）回避機能が追加されています。その狙いは検出を免れることと、分析を困難にすることです。Talos は当時、今後のサイバー攻撃で同マルウェアが使用されると予測していました。「Jaguar Tooth」と呼ばれるグローバルネットワークインフラに対する大規模な攻撃についての情報が公開されました。Talos とシスコからも詳細な報告が出されています。この攻撃では、国家の支援を受けた攻撃者が、Cisco 製のデバイスも含めて無線ルータなどの旧式のネットワークデバイスを標的としていました。英国国家サイバーセキュリティセンター（NCSC）も報告書を発表しました。シスコが 2017 年にパッチを公開したルータの脆弱性を標的とした、ロシアの諜報機関による持続的な攻撃に関する内容のものです。ネットワークインフラを防御し、組織が最新のデバイスを使用できるようにするために現在も議論が行われており、7 月にはシスコと他のパートナーによる Network Resilience Coalition（ネットワークレジリエンス連合）の共同設立につながりました。
	「Greatness」と呼ばれる新しい PhaaS（Phishing-as-a-Service）ツールの被害が確認されています。攻撃者は、このインフラの使用料金をサブスクリプション形式で支払うことが可能です。Greatness はユーザーにスパムメールを送信させて、標的をよくできた偽の Microsoft 365 のログインページへ誘導します。「as-a-service」形式の攻撃は以前から存在していましたが、2022 年にいくつかの大規模なランサムウェアグループが、自分たちのサービスやコードを利用したい人に有料で提供する新しいアフィリエイトモデルに移行したことで、この形式が注目されるようになりました。 Talos はパートナーの The Citizen Lab の協力のもと、モバイルスパイウェアスイートの「ALIEN」と「PREDATOR」に関する新たな詳細を明らかにしました。これらのツールを使用してスパイウェアを作成している攻撃グループは多数存在しており、Talos は「傭兵スパイウェア」グループと呼んでいます。スパイウェアは多くの国で違法とみなされているソフトウェアで、政治家や活動家など危険にさらされる可能性が高い人を標的にするためによく使用されます。 Talos は「RA Group」と呼ばれる新たな攻撃者を明らかにしました。製造業者、資産管理業者、保険業者、製薬会社など、世界中のユーザーを標的としています。RA Group は、2021 年 9 月にオンラインで流出したランサムウェア Babuk の改変版を使用しています。
	Talos は、丸 3 年近く活動を続けているボットネット「Horabot」の詳細を明らかにしました。この攻撃者は、既知のバンキング型トロイの木馬とスパムツールを標的のマシンに配信します。特に標的となっているのは北米と南米のスペイン語を使用するユーザーです。Talos は当時、このボットネットを展開する攻撃者はブラジルにいると考えていました。トップレベルドメイン .zip の一般登録が開始されてから 1 か月後、Talos の研究者は、機密情報を流出させる目的の詐欺で攻撃者が .zip を使用していることに気がつきました。ユーザーアプリケーションが「.zip」ファイルを URL として登録する例が増えてきており、意図せず DNS クエリや Web リクエストが送信される可能性があります。そうなった場合、ファイル名に含まれている機密情報や社内データが、関連する DNS サーバーを監視している攻撃者に漏洩する恐れがあります。
	Talos は、今まで情報がなかった「RedDriver」という名前の悪意のあるドライバの複数のバージョンを発見しました。これはドライバベースのブラウザハイジャッカーで、Windows フィルタリングプラットフォーム（WFP）を使用してブラウザのトラフィックを傍受します。Talos の調査によると、遅くとも 2021 年から展開されています。この攻撃は主に中国語ユーザーを標的としており、RedDriver の作成者も中国語を母国語とするユーザーである可能性が高いと考えられます。ウクライナとポーランドの政府機関を標的とする無名の攻撃者が明らかになりました。機密情報を盗み、将来の攻撃のためにバックドアを設置することを目的としています。ウクライナのコンピュータ緊急対応チーム（CERT-UA）によると、7 月に初めて発見されたこの攻撃は、ベラルーシ政府が関与しているとされる GhostWriter の作戦活動の一環であり、攻撃者グループ UNC1151 が実行犯だと考えられています。
	Talos の脆弱性調査チームは、複数の小規模事業所（SOHO）向けルータに影響を及ぼす数十件の脆弱性を公表しました。このチームは、大規模な VPNFilter 攻撃を受けたことをきっかけに、数年を費やしてこの調査を実施してきました。攻撃者はこれらの脆弱性の多くを連鎖させ、直接アクセスしたり、デバイスに対する高度な権限を獲得したりすることができるようになります。新たな攻撃者が、Yashma ランサムウェアの亜種を使用した攻撃を展開する新たな攻撃者が現れました。WannaCry の特徴を模倣した攻撃であり、複数の地域が標的になっているようです。この攻撃者は明らかにベトナムの出身で、遅くとも 6 月からブルガリア、中国、ベトナムなどの国のユーザーを標的として攻撃を展開していました。このランサムウェア攻撃の新たな特徴は、バイナリに何らかの文字列を含めるのではなく、利用できる GitHub 経由で身代金の要求書をダウンロードするよう標的に要求する点です。米国保健福祉省（HHS）は医療業界に対して、ランサムウェア Rhysida の活動に関する警告を発表しました。Rhysida は 5 月に初めて出現したと思われます。その後、Rhysida のリークサイトにいくつかの注目すべき侵害事例が投稿されたため、米国政府はこの活動に関して病院システムや医院に注意を喚起する具体的な警告を発表しました。Talos は、Rhysida ランサムウェアを検出するための新しい Snort ルールと攻撃者の詳細な TTP を公開しました。正規のサイバーセキュリティ企業を装った新しい身代金要求書についても取り上げています。 Talos は、悪名高い Lazarus Group APT について、実際に被害が確認されている新しい RAT をはじめとする新しい情報を公開しました。北朝鮮の国家支援を受けているこのグループは、「QuietRAT」と呼ばれるマルウェアを使用し、欧州と米国のインターネットインフラと医療機関を標的として攻撃を展開していました。Lazarus Group に関する追加調査の結果、攻撃の初期アクセス段階ではオープンソースのツールやフレームワークを多用するようになっているのに対し、侵入後の攻撃段階ではそうしたツールやフレームワークの使用を厳密に制限するようになっていることがわかりました。オープンソースの情報窃取マルウェアである SapphireStealer についての情報を公開しました。このマルウェアは 2022 年 12 月に初めて公開されて以降、Talos によってマルウェアの公開リポジトリ全体で頻繁に確認されるようになっていました。複数のグループが SapphireStealer を使用しており、各グループが独自にオリジナルのコードベースに改良や変更を加えてデータ流出の仕組みを追加できるよう機能拡張を図っているために複数の亜種が生まれている可能性があると Talos では推測しています。
	Talos は「HTTPSnoop」と呼ばれる新しいマルウェアファミリが展開されていることを発見しました。標的にされているのは中東の通信会社です。HTTPSnoop はシンプルながら実効性の高いバックドアで、Windows の HTTP カーネルドライバやデバイスとやり取りして HTTP/HTTPS URL の受信リクエストをリッスンし、感染したエンドポイントでそのコンテンツを実行するという新しい手法を導入しています。「HTTPSnoop」によく似た、「PipeSnoop」というインプラントも発見しました。PipeSnoop には、名前付きパイプから任意のシェルコードを受け取り、感染したエンドポイントで実行する機能があります。どちらのツールも、侵入セットを構築した攻撃者である ShroudedSnooper によって作成および所有されていると考えられています。 Talos の研究者は、Advanced Installer（ソフトウェアパッケージの作成に使用される正規の Windows ツール）を悪用して、感染したマシンに暗号通貨マイニングマルウェアをドロップする攻撃者を発見しました。これらの攻撃は、特にグラフィックデザイナーや非常に大きいグラフィックカードを搭載したコンピュータを使用しているアーティスト、つまり暗号通貨マイニングにおいて価値が高い人を標的としています。
	Cloudflare をはじめとするインターネットホスティングプロバイダーは、過去最大と思われる分散型のサービス妨害攻撃を報告しました。実際の攻撃は今年の初めに発生しましたが、攻撃者が悪用した HTTP/2 プロトコルの脆弱性の詳細などの正式な情報開示は 10 月に行われました。Talos はこれらの攻撃に関するアドバイザリを公開し、ただちにパッチを適用するようユーザーに促すとともに、CVE-2023-44487 の悪用を検出するための新しい Snort ルールも公開しました。 Talos が最初に報告した攻撃者 YoroTrooper が、今年初め、新しい難読化技術やコモディティ型マルウェアの使用など、新たな TTP を使用し始めました。YoroTrooper はカザフスタンを拠点として活動している可能性が高いのですが、これらの新しい手口では、アゼルバイジャン政府が発行したと見せかけるおとりの文書を使用しています。ガザを拠点にしていると思われる攻撃者 Arid Viper の情報が公開されました。この APT は、Android オペレーティングシステム用のソフトウェアとして設計された悪意のあるアプリケーションを使用して、標的から機密情報を収集し、感染したデバイスに追加のマルウェアを展開しました。Arid Viper はガザを拠点としていると考えられていますが、Cisco Talos は、この攻撃が 10 月に始まったイスラエルとハマスの戦争に何らかの形で関連していることを示す情報も、関連性を否定できる情報も持ち合わせていません。
	Talos は最も多く使用されている Phobos の亜種、アフィリエイトが使用する一般的な戦術、手法、手順（TTP）、Phobos アフィリエイトの構造の特徴を特定しました。Talos の研究者は Phobos の活動の観察と、1,000 以上の Phobos のサンプル（VirusTotal で公開されている 2019 年以降のサンプル）の分析を行いました。その結果、8Base グループが SmokeLoader バックドア経由で Phobos の亜種を展開するケースが増加していることを確認しました。また、Phobos が有償の RaaS（Ransomware as a Service）として入手できる可能性を示す痕跡も確認しました。 Talos は、2023 年 8 月には始まっていたと思われる攻撃を発見しました。Talos が「SugarGh0st」と名付けた新たなリモートアクセス型トロイの木馬（RAT）を送り込む攻撃です。ウズベキスタン外務省と韓国のユーザーが攻撃対象にされていることを示唆する証拠を Talos は確認しました。SugarGh0st は悪名高い Gh0st RAT の亜種であると考えられている、中国由来の数年前のマルウェアです。SugarGh0st はウズベキスタンと韓国のユーザーを標的にしていると考えられています。
	Talos は Project PowerUp の詳細を発表しました。これはウクライナの送電網を保護するための新しい特注のハードウェアデバイスを作成することを目的とした、シスコの複数のチームによる取り組みです。IoT スイッチの修正により、従来はネットワークが機能するタイミングを妨害しようとする GPS ジャミング攻撃からウクライナの送電網が保護されます。CNN がこの取り組みについて最初に記事にして、Talos の研究者であり、プロジェクトの指揮を執った Joe Marshall が Talos のブログに自身で内容を説明しました。