2024年5月16日
株式会社Doctor Web Pacific
2023年も引き続き、AutoItスクリプト言語で書かれたトロイの木馬アプリ Trojan.AutoIt が最も多く検出された脅威の1つとなりました。 Trojan.AutoIt は別の悪意のあるソフトウェアの一部として拡散され、それらの検出を困難にします。また、広告を表示するトロイの木馬 Trojan.BPlug やさまざまな悪意のあるスクリプトの活動も活発でした。メールトラフィック内では、さまざまな悪意のあるスクリプトとフィッシングドキュメントが最も多く検出された脅威となりました。Microsoft Officeドキュメントの脆弱性を悪用する悪意のあるプログラムも多く拡散されたほか、さまざまな種類のトロイの木馬もメールを介して拡散されました。
2023年にテクニカルサポートに寄せられたファイルの復号化リクエスト数は2022年と比較して減少しました。バンキング型トロイの木馬の検出数も減少しています。
2023年は多くの情報セキュリティインシデントによって記憶に残る年となりました。春にはAndroid TVセットやTVボックスを感染させるAndroid 向けトロイの木馬による攻撃が確認され、夏には仮想通貨を盗むトロイの木馬アプリが一部のWindows 10海賊版ビルドに含まれて拡散されていることが明らかになりました。このトロイの木馬はコンピューターを感染させるとEFIシステムパーティションに侵入します。秋にはイランのAndroidユーザーを標的としたスパイウェア型トロイの木馬による攻撃が確認されました。これらのマルウェアは個人情報と金銭を盗むよう設計されていました。また、Doctor WebはメッセージングサーバーOpenfireの悪意のあるプラグインの拡散について注意喚起を行いました。このプラグインはOpenfireの脆弱性の1つを悪用し、攻撃者から受け取るコマンドを実行します。
モバイル脅威では、広告を表示させるトロイの木馬、悪意のあるスパイウェアアプリ、望ましくないアドウェアが最も多く検出された脅威となりました。Google Playでは新たなマルウェアが多数検出され、それらは合計で5 億件近くダウンロードされています。また、AndroidデバイスとiOSデバイスの両方のユーザーから仮想通貨を盗むよう設計されたトロイの木馬も新たなものが発見されました。
2023年にもDoctor Webのインターネットアナリストによってフィッシングサイトが次々と確認されています。これまで同様、銀行やオンラインストア、石油・ガス会社の偽サイトが多く使用されています。
2023年の主な傾向
- AutoItスクリプト言語で書かれたトロイの木馬が広く拡散される
- 広告を表示するトロイの木馬が広く拡散される
- 暗号化ランサムウェアのインシデント数が減少
- 新たなバンキング型トロイの木馬ファミリーが出現
- Google Playに新たな脅威が多数出現
- インターネット詐欺師の活動が活発
- 悪意のあるスクリプトとフィッシングドキュメントがメールトラフィック内で最も多く検出された脅威となる
2023年の最も注目すべきイベント
2023年5月、Doctor Webはトロイの木馬モジュール Android.Spy.SpinOk について記事を公表しました。このモジュールはAndroidゲームやアプリの開発者向けマーケティングツールとして提供されていましたが、同時にスパイウェア機能も備えていました。 Android.Spy.SpinOk はデバイス上に保存されたファイルの情報を収集して攻撃者に送信するほか、クリップボードの内容を置き換えたりリモートサーバーにアップロードしたりすることもでき、広告も表示させます。このモジュールは100を超えるアプリ内で発見されており、Google Playから4 億 2,100万回以上ダウンロードされていました。当該記事が公開された後、モジュールがスパイウェアとして検出される原因を特定するためにSpinOkの開発者からDoctor Webに問い合わせがあり、その後モジュールはバージョン2.4.2にアップデートされました。このバージョンにはスパイウェア機能は組み込まれていません。
6月、Doctor Webのスペシャリストは仮想通貨を盗むよう設計された悪意のあるアプリ Trojan.Clipper.231 を発見しました。このトロイの木馬は一部のWindows 10海賊版ビルドに組み込まれており、コンピューターを感染させるとEFIシステムパーティションに侵入し、ユーザーがクリップボードにコピーした仮想通貨ウォレットのアドレスを攻撃者のアドレスに置き換えます。当該記事の掲載時点で脅威アクターはすでに約1万9000米ドル相当の仮想通貨を盗み出していました。
7月、Doctor Webはモジュラー型トロイの木馬 Trojan.Fruity.1 を用いた、Windowsユーザーに対する攻撃を確認しました。このトロイの木馬を使用することで、脅威アクターは目的に応じて異なる種類のマルウェアにコンピューターを感染させることができます。成功率を高めるために、この攻撃ではさまざまな手段が用いられています。まず、 Trojan.Fruity.1 は悪意のあるアクターによって特別に作成されたポピュラーなソフトウェアのインストーラに含まれて悪意のあるサイトから拡散され、ユーザーにダウンロードされます。そして、このトロイの木馬はモジュラー構造を持っているため、システムを多段階プロセスで感染させます。さらに、 Trojan.Fruity.1 コンポーネントの起動には無害なアプリケーションが使用され、システムを感染させるとアンチウイルス保護をすり抜けようとします。
9月初旬、Doctor Webは主にスペイン語圏のユーザーを標的としたバックドア Android.Pandora.2 についての調査結果を公表しました。 Android.Pandora.2 のさまざまな亜種は、侵害されたファームウェアを通じて、またはユーザーがオンラインで海賊版動画コンテンツを視聴するためにトロイの木馬の含まれたアプリをインストールした際に、Android TVセットやTVボックスを感染させます。このトロイの木馬の最初の亜種は2017年6月にDr.Webウイルスデータベースに追加されており、新たな亜種である Android.Pandora.2 による大規模な攻撃は2023年3月に確認されています。
その少し後には、イランのAndroidユーザーを主な標的とした Android.Spy.Lydia ファミリーに属するトロイの木馬について記事を公表しました。これらトロイの木馬は、感染したデバイスに攻撃者がリモートでアクセスすることを可能にします。スパイウェアとしての機能も備えており、情報や金銭を盗む目的で使用されています。
9月末、Doctor WebはメッセージングサーバーOpenfireの脆弱性 CVE-2023-32315 を悪用する悪意のある JSP.BackDoor.8 プラグインの拡散について注意を呼びかけました。この脆弱性は、ハッカーがファイルシステムにアクセスし、感染したサーバーをボットネットの一部として使用することを可能にするものです。このトロイの木馬プラグインは、クライアントの1社でインフラストラクチャに対する暗号化トロイの木馬による攻撃を調査する過程でDoctor Webのスペシャリストによって発見されました。脆弱性の存在するOpenfireソフトウェアがサーバーにインストールされており、そのサーバーに対する暗号化トロイの木馬による攻撃を成功させていたのがこのプラグインでした。 JSP.BackDoor.8 はJavaプログラミング言語で書かれたバックドアで、GETリクエストやPOSTリクエスト形式で攻撃者から送信されるさまざまなコマンドを実行することができます。また、このプラグインを使用することで、脅威アクターは侵害されたサーバーに関する情報(ネットワーク接続、IPアドレス、ユーザー、システムのカーネルバージョンに関する情報など)も取得することが可能です。
マルウェアに関する状況
Dr.Webの検出統計によると、2023年には検出された脅威の合計数に2022年と比較して12.27%の増加が認められました。同時に、ユニークな脅威の数も21.70%増加しています。最も多く検出された脅威は、別のマルウェアと一緒に拡散されてそれらの検出を困難にするトロイの木馬となりました。また、アドウェア型トロイの木馬やさまざまな悪意のあるスクリプトも多く検出されています。
- Trojan.BPlug.3814
- Trojan.BPlug.4087
- WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
- Trojan.AutoIt.1224
- Trojan.AutoIt.1131
- Trojan.AutoIt.1124
- Trojan.AutoIt.1122
- Trojan.AutoIt.1147
- AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。 Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。
- BAT.Hosts.187
- Windowsコマンドインタプリタ言語で書かれた悪意のあるスクリプトです。ドメインの特定のリストを追加することでhostsファイルを変更します。
- Trojan.Hosts.51189
- Microsoft Windowsコンピューター上のhostsファイルの内容を改変するトロイの木馬アプリです。
- BAT.Starter.457
- Windowsコマンドインタプリタ言語で書かれた悪意のあるスクリプトです。標的のコンピューター上で別のマルウェアを起動するよう設計されています。
2023年にメールトラフィック内で最も多く検出された脅威は、偽のログインフォームとして拡散されていることの多い悪意のあるスクリプトとフィッシングドキュメントとなっています。これらのドキュメントは人気のあるWebサイトの認証プロセスを模倣して、ユーザーが入力したデータを詐欺師に送信します。また、Microsoft Officeドキュメントの脆弱性を悪用する悪意のあるプログラムも引き続き多く拡散されています。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
- PDF.Phisher.458
- PDF.Phisher.455
- PDF.Phisher.474
- PDF.Phisher.456
- PDF.Phisher.486
- PDF.Phisher.463
- フィッシングニュースレターで使用されるPDFドキュメントです。
- Exploit.CVE-2018-0798.4
- Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
- LNK.Starter.56
- 特定の方法で作成されたショートカットの検出名です。このショートカットはUSBフラッシュドライブなどのリムーバブルメディアを通じて拡散され、ユーザーを騙して自身の動作を隠すためのデフォルトのディスクアイコンを持っています。起動されると、ショートカット自体と同じドライブにある隠しディレクトリから悪意のある VBS スクリプトを実行します。
暗号化ランサムウェア
2023年には、暗号化ランサムウェアに感染したユーザーからDoctor Webのテクニカルサポートに寄せられるファイルの復号化リクエスト数に2022年と比較して28.84%の減少がみられました。以下のグラフは2023年におけるリクエスト数の推移を表しています。
2023年に最も多く検出された暗号化ランサムウェア:
- Trojan.Encoder.26996 (リクエストの21.35%)
- STOPランサムウェアとして知られる暗号化トロイの木馬です。サーバーからプライベートキーを取得しようと試み、失敗した場合はハードコードされたプライベートキーを使用します。ストリーム暗号Salsa20でユーザーのデータを暗号化する数少ない暗号化トロイの木馬の1つです。
- Trojan.Encoder.3953 (リクエストの18.87%)
- 複数のバージョンや亜種を持つ暗号化トロイの木馬です。CBCモードでAES-256を使用してファイルを暗号化します。
- Trojan.Encoder.35534 (リクエストの6.00%)
- Mimicとしても知られる暗号化トロイの木馬です。Windowsコンピューター上のファイルを高速で検索できる正規ソフトウェア「Everything」のeverything.dllライブラリを使用します。
- Trojan.Encoder.34027 (リクエストの2.18%)
- TargetCompanyまたはTohnichiとしても知られる暗号化トロイの木馬です。AES-128、Curve25519、ChaCha20アルゴリズムを使用してファイルを暗号化します。
- Trojan.Encoder.35209 (リクエストの2.01%)
- Contiとしても知られる暗号化トロイの木馬です( Trojan.Encoder.33413 はこのトロイの木馬のまた別の亜種の1つです)。AES-256アルゴリズムを使用してファイルを暗号化します。
ネットワーク詐欺
2023年を通して、Doctor Webのインターネットアナリストによって活発な詐欺活動が確認され、多数のフィッシングサイトが検出されました。最も多く悪用されていたのは金融関連のトピックで、発見された不審なサイトのおよそ60%が金融機関の公式サイトを模倣したものでした。それらの中で特に多くみられたのが、インターネットバンキングにアクセスするための偽のアカウントログインページや偽のアンケートページです。このような偽のページを使用することで、サイバー犯罪者はインターネットバンキングアカウントにアクセスするために必要となるユーザーの個人情報やログイン情報を手に入れようとしています。
経済状況を良くすることができると提案してユーザーをおびき寄せる詐欺サイトも引き続き確認されています。そのようなサイトの例として、大手石油・ガス会社と関連があるとする特別な投資サービスでお金を稼ぐことができると勧誘するサイトや、高利益が「保証され」ている自動売買システムへのアクセスを提供するサイトがあげられます。また、政府からの給付金を「受け取る」ことができるとするサイトも依然として多くみられます。いずれのサイトでも使われているフィッシングスキームは同じで、ユーザーは簡単な質問に回答した後、アカウントに登録するために個人情報を提供するよう求められます。支払いを受け取ることができるとするサイトでは、ユーザーは実際には存在しないお金を銀行口座に送金してもらうための「手数料」も支払う必要があります。
以下の画像は金融関連の詐欺サイトの例です。最初の例は、ロシアの大手石油・ガス会社をかたって「投資プラットフォーム」へのアクセスを提供するサイトで、2つ目の例は、欧州の銀行に関連があるとする投資サービスにアクセスするよう勧誘するサイト、3つ目の例は、Quantum UIやQuantum Systemなどといった名前の偽の自動売買システムへのアクセスを提供するサイトです。
「プロモーション」、「ボーナス」、「ギフト」などの言葉でユーザーを偽のオンラインストアやチケット販売サイトなどにおびき寄せるフィッシングスキームも依然として後を絶ちません。これらのサイトは、賞金の抽選に参加したり、ギフトやボーナスを受け取ったり、商品を安く購入したりできると持ちかけてユーザーを騙し、金銭やクレジットカード情報を詐取しようとします。以下の画像はそのような詐欺サイトの例です。
ロシアの家電量販店の公式サイトを模倣した偽サイトです:
商品を割引価格で購入できると表示し、購入代金をクレジットカードで支払うかインターネットバンキングで入金するよう要求します。
複数のオンラインストアが主催する「賞金の抽選」に参加できるとする詐欺サイトです:
高額賞金に「当選」した後、ユーザーは当選金を「受け取る」ために通貨換算手数料を支払うよう求められます。
ロシアの公式オンラインストアのデザインを模倣している詐欺サイトです:
賞金の「抽選」に参加するためにいくつかの質問に回答するようユーザーに求めています。抽選がシミュレートされた後にユーザーが当選するようになっていますが、当選金を受け取るために「手数料」を支払う必要があります。
「無料」の宝くじを提供するフィッシングサイトです:
当選したユーザーは、当選金を受け取るために「手数料」を支払う必要があります。
2023年の夏には、ロシア連邦や独立国家共同体(CIS)加盟国などの公文書(高等教育の卒業証書、運転免許証、各種証明書など)を販売する、またはそのような文書を紛失してしまった場合に再発行する法的サービスを提供するとうたうWebサイトの数が増加していることが確認されました。このような疑わしいサービスを利用してしまったユーザーは実際には存在しないサービスの購入でお金を失うだけでなく、個人情報を流出させてしまう可能性があります。また、最終的に偽造文書を購入してしまった場合は、法律違反とされて法執行機関とのトラブルに発展してしまう危険性もはらんでいます。以下の画像は疑わしいサービスを提供するサイトの例です。
ロシア連邦国民のパスポートを購入できるとするサイトです:
学位授与証明書、各種証明書、運転免許証、その他の文書などを購入できるとするサイトです:
秋には、税務当局からのものを装ったメールを配信するフィッシングキャンペーンが確認されました。これらのメールにはサイトへのリンクが含まれており、ユーザーはそこで組織や企業が個人情報に関するロシア連邦法の要件を遵守しているかどうか確認することができると提案されます。そのためにユーザーは簡単な質問に回答し、「結果を受け取り専門家からのアドバイスを無料で受ける」ために電話番号とメールアドレスを入力するよう求められます。
そのほか、2023年にはブログプラットフォーム「Telegraph」がフィッシング詐欺に利用されるケースも増加しました。脅威アクターはこのプラットフォーム上で、さまざまな不審なサイトへのリンクを含んだ投稿を行っています。それらのリンクは、リンク短縮サービスを使用して変換された短縮URLとなっていました。
以下の画像は、そのようなフィッシング詐欺目的の投稿です。アカウントをアクティベートするようユーザーに求めています。「CONFIRM」をクリックしたユーザーはフィッシングサイトへとリダイレクトされます。
今後の動向と展望
2023年にはアドウェア型トロイの木馬が広く拡散され、このことから、サイバー犯罪者の主要な目的は依然として違法な利益を得ることにあるということが見てとれます。AutoItスクリプト言語で書かれたトロイの木馬が積極的に使用されているという事実もこれを裏付けています。これらトロイの木馬はメインのペイロードの検出を困難にする目的で別のマルウェアの一部として拡散されますが、そのようなマルウェアの1つが仮想通貨をマイニングするトロイの木馬です。これらを踏まえると、2024年にもユーザーを犠牲にして悪意のあるアクターに利益をもたらすような脅威が引き続き攻撃手段として使用されるものと考えられます。
バンキング型トロイの木馬を使用した攻撃の数は全体としては減少しています。しかしながら、新たなファミリーの出現からも明らかなように、この種の脅威は今なお進化を続けています。この傾向は今後も続いていくものとみられます。
インターネット詐欺は引き続き重大な脅威となるでしょう。テクノロジーの進化に伴い、悪意のあるアクターは効果の実証されている従来の詐欺スキームに加えて新たな手法をますます多く取り入れていくようになると考えられます。そのような手法には、ニューラルネットワークを使用したものも含まれるでしょう。
モバイルデバイスを狙ったさらなる脅威の出現も予想されます。Google Playなどの公式アプリストアからも引き続き脅威が拡散され、さらにAndroidデバイスのみでなく他のデバイス、中でも特にiOSデバイスを標的とする新たなマルウェアが登場する可能性もあります。
また、2023年にはOpenfireソフトウェアに対する攻撃により、アップデートをインストールし、使用しているプログラムを最新の状態に保っておくことの重要性が改めて浮き彫りになりました。2024年にも、あらゆる種類のエクスプロイトを使用した標的型攻撃等の新たな攻撃が実行される可能性があります。