2019年12月24日 Leave a Comment

2019 年のマルウェアを振り返る

1 min read

TALOS Japan

ランサムウェア攻撃から DNS ハイジャックまで、2019 年のマルウェアも例年どおり活発でした。

今年は、最近のケースではひときわ注目を集めた DNS 攻撃「Sea Turtle」が確認されるなど、突出したマルウェアが多数登場しました。別の注目ニュースは、発見当初に大きく騒がれた RDP の脆弱性「BlueKeep」です。ただし大規模なエクスプロイトはまだ起きていないため、研究者たちは目を光らせています。

多忙な一年を振り返るため、今年に Talos がお伝えした注目すべきマルウェアやセキュリティニュースなどを一覧にまとめました。一覧では関連記事へのリンクも貼られています。

	2 月 ExileRAT に感染させるための不正な PowerPoint プレゼンテーション、チベット政府関係者への攻撃で利用される。
	3 月 POS 端末を狙ったマルウェア「GlitchPOS」を Talos が発見。このマルウェアはオンラインで販売され、誰でもクレジットカードスキミングボットネットを設定できるほど簡単に利用できる状態でした。
	4 月さまざまな不正行為に及ぶ Facebook グループのリストを Talos が公開。これらのグループはシンプルな名前のもと、クレジットカードデータやマルウェアサービスの販売などに使われていました。「Sea Turtle」として知られる DNS ハイジャック攻撃が拡大。正当な DNS アドレスをスプーフィングすることで、中東および北アフリカを中心に公的機関と民間組織を標的にしていました。標的の中には国家の情報機関も含まれています。別の DNS ハイジャック攻撃「Karkoff」が検出。「DNSpionage」の攻撃者による新たなマルウェアで、検出を逃れて感染率を高めるため強化されています。
	5 月バンキング型トロイの木馬「Qakbot」、検出を回避して永続性を維持するための新種が登場。 Talos が「BlackWater」を発見。これはトロイの木馬で、MuddyWater APT に関連性があると考えられています。「ワーマブル」な脆弱性「BlueKeep」が Microsoft 社の製品で発見。これはリモートデスクトッププロトコル（RDP）に起因するバグで、WannaCry と同様の攻撃につながる可能性が指摘されています。Talos では、「BlueKeep」から保護するための新しい Snort ルールをリリースしたほか、 Cisco Firepowerにより保護する方法についても概説しています。
	6 月複数のオープンソースプロジェクトを統合した攻撃手口を発見。被害者のマシンにマルウェアをインストールすることが目的で、Talos では「Frankenstein（フランケンシュタイン）」と呼んでいます。新たなエクスプロイトキット「Spelevo」の詳細を Talos が公開。エクスプロイトキットは決して消滅しないことを物語っています。
	7 月既知の「Heaven’s Gate」の脆弱性を突いた、一連の RAT と情報摂取型マルウェアが登場。新たな DNS ハイジャック手口を備え、標的を拡大した Sea Turtle の新種が登場。ボルティモア市を筆頭に、米国の自治体でランサムウェア攻撃の被害が続発。一連の事件により、ランサムウェアの被害者が身代金を支払うべきか否かに関して専門家の間で議論が高まっています。
	9 月夏季は沈静化していた Emotet returns、IOC の異なる新種が登場。ただし従来の Snort ルールが有効です。 Tortoiseshell APT、米国の退役軍人をマルウェアのダウンローダに感染させる偽の採用支援サイトを作成。攻撃者による ODT（OpenDocument テキスト）ファイルの使用が加速。攻撃で ODT ファイルを使うことで、従来の検出方法を回避できる可能性があります。
	10 月「checkra1n」と呼ばれる、iOS では珍しい脱獄（ジェイルブレイク）が発見。これに乗じてユーザを騙し、偽の脱獄ツール（マルウェアの感染源）をインストールさせる手口が確認されました。法的・倫理的にグレーな複数のスパイウェアを Talos が発見。ただしこれらのスパイウェアは攻撃者によって不正利用されています。
	11 月「BlueKeep」の脆弱性が実際にエクスプロイトされているとの報道が初めて登場。ただし大規模な攻撃の発生を示す証拠はありません。

本稿は 2019年12月18日に Talos Group のブログに投稿された「2019: The year in malware 」の抄訳です。

Authors

TALOS Japan

Tags:

コメントを書く

	2 月 ExileRAT に感染させるための不正な PowerPoint プレゼンテーション、チベット政府関係者への攻撃で利用される。
	3 月 POS 端末を狙ったマルウェア「GlitchPOS」を Talos が発見。このマルウェアはオンラインで販売され、誰でもクレジットカードスキミングボットネットを設定できるほど簡単に利用できる状態でした。
	4 月さまざまな不正行為に及ぶ Facebook グループのリストを Talos が公開。これらのグループはシンプルな名前のもと、クレジットカードデータやマルウェアサービスの販売などに使われていました。「Sea Turtle」として知られる DNS ハイジャック攻撃が拡大。正当な DNS アドレスをスプーフィングすることで、中東および北アフリカを中心に公的機関と民間組織を標的にしていました。標的の中には国家の情報機関も含まれています。別の DNS ハイジャック攻撃「Karkoff」が検出。「DNSpionage」の攻撃者による新たなマルウェアで、検出を逃れて感染率を高めるため強化されています。
	5 月バンキング型トロイの木馬「Qakbot」、検出を回避して永続性を維持するための新種が登場。 Talos が「BlackWater」を発見。これはトロイの木馬で、MuddyWater APT に関連性があると考えられています。「ワーマブル」な脆弱性「BlueKeep」が Microsoft 社の製品で発見。これはリモートデスクトッププロトコル（RDP）に起因するバグで、WannaCry と同様の攻撃につながる可能性が指摘されています。Talos では、「BlueKeep」から保護するための新しい Snort ルールをリリースしたほか、 Cisco Firepowerにより保護する方法についても概説しています。
	6 月複数のオープンソースプロジェクトを統合した攻撃手口を発見。被害者のマシンにマルウェアをインストールすることが目的で、Talos では「Frankenstein（フランケンシュタイン）」と呼んでいます。新たなエクスプロイトキット「Spelevo」の詳細を Talos が公開。エクスプロイトキットは決して消滅しないことを物語っています。
	7 月既知の「Heaven’s Gate」の脆弱性を突いた、一連の RAT と情報摂取型マルウェアが登場。新たな DNS ハイジャック手口を備え、標的を拡大した Sea Turtle の新種が登場。ボルティモア市を筆頭に、米国の自治体でランサムウェア攻撃の被害が続発。一連の事件により、ランサムウェアの被害者が身代金を支払うべきか否かに関して専門家の間で議論が高まっています。
	9 月夏季は沈静化していた Emotet returns、IOC の異なる新種が登場。ただし従来の Snort ルールが有効です。 Tortoiseshell APT、米国の退役軍人をマルウェアのダウンローダに感染させる偽の採用支援サイトを作成。攻撃者による ODT（OpenDocument テキスト）ファイルの使用が加速。攻撃で ODT ファイルを使うことで、従来の検出方法を回避できる可能性があります。
	10 月「checkra1n」と呼ばれる、iOS では珍しい脱獄（ジェイルブレイク）が発見。これに乗じてユーザを騙し、偽の脱獄ツール（マルウェアの感染源）をインストールさせる手口が確認されました。法的・倫理的にグレーな複数のスパイウェアを Talos が発見。ただしこれらのスパイウェアは攻撃者によって不正利用されています。
	11 月「BlueKeep」の脆弱性が実際にエクスプロイトされているとの報道が初めて登場。ただし大規模な攻撃の発生を示す証拠はありません。

2019 年のマルウェアを振り返る

2 月

4 月

5 月

6 月

7 月

9 月

10 月

11 月

Authors

TALOS Japan