2024年には、別の悪意のあるソフトウェアの一部として拡散されてそれらの検出を困難にする、AutoItスクリプト言語で書かれた悪意のあるプログラムが再び最も多く検出された脅威の1つとなりました。アドウェア型トロイの木馬やあらゆる種類の悪意のあるスクリプトの活動も活発でした。悪意のあるスクリプトはメールトラフィック内で最も多く検出された脅威となっています。そのほか、さまざまな種類のトロイの木馬やフィッシングドキュメント、任意のコードの実行を可能にするエクスプロイトがメールを介して多く拡散されました。
モバイルデバイスでは、広告を表示させるトロイの木馬、スパイウェア型トロイの木馬、望ましくないアドウェアアプリが最も多く検出された脅威となりました。また、2024年を通して、モバイルデバイスを標的とするバンキング型トロイの木馬の活動に増加がみられました。Google Playでは何百もの悪意のあるアプリや望ましくないアプリが発見されています。
2024年にもインターネット詐欺が活発化していることがDoctor Webのインターネットアナリストによって確認されました。詐欺師はユーザーを騙すために従来の手口と新たな手口の両方を駆使しています。
2024年にテクニカルサポートに寄せられたファイルの復号化リクエスト数は2023年と比較して減少しました。一方で、Doctor Webのスペシャリストは多くの情報セキュリティインシデントを観測しました。2024年を通し、Doctor Webでは複数の標的型攻撃について調査を行い、Android TVセットの新たな感染を発見し、自社インフラストラクチャに対する攻撃を阻止しました。
2024年の主な傾向
- AutoItスクリプト言語で書かれたトロイの木馬の活動が引き続き非常に活発
- 悪意のあるスクリプトが最も多く拡散された脅威の1つとなる
- 悪意のあるスクリプトとさまざまな種類のトロイの木馬がメールトラフィック内で最も多く検出された脅威となる
- 新たな標的型攻撃が複数確認される
- 悪意のあるアクティビティを隠すためにeBPFテクノロジーを悪用する事例が増加
- ランサムウェアによって暗号化されたファイルの復号化リクエスト数が減少
- インターネット詐欺師の活動がきわめて活発
- モバイルバンキング型トロイの木馬がますます多く使用される
- Google Playで新たな脅威が多数発見される
2024年の最も注目すべきイベント
2024年1月、Doctor Webは特別に作成されたTelegramチャンネルや複数のサイトから配信される海賊版ソフトウェアにマイニング型トロイの木馬 Trojan.BtcMine.3767が潜んでいることを発見しました。このトロイの木馬は数万台のWindowsコンピューターを感染させています。 Trojan.BtcMine.3767 は感染させたシステムにとどまるために、自身が自動実行されるようスケジューラタスクを作成し、同じく自らをWindows Defenderの除外に追加します。次に、仮想通貨を密かにマイニングするコンポーネントをexplorer.exe (Windows Explorer)に挿入します。さらに、 Trojan.BtcMine.3767 はファイルレスルートキットをインストールしたり、Webサイトへのアクセスをブロックしたり、Windowsのアップデートを無効にしたりするなど、複数の悪意のあるアクションを実行することができます。
3月、Doctor Webはロシアの機械工学系企業を狙った標的型攻撃に関する調査レポートを公表しました。調査の結果、このインシデントでは多段階感染ベクトルと複数の悪意のあるプログラムが用いられていることが明らかになりました。その中で最も目を引くのが、それを経由して攻撃者と感染したシステム間の主なやりとりが実行される JS.BackDoor.60 バックドアです。 JS.BackDoor.60 は独自のJavaScriptフレームワークを使用し、難読化されたメインの本体と追加モジュールで構成されています。このトロイの木馬は感染したシステムからファイルを盗み、キーボードの入力情報を監視し、スクリーンショットを撮り、自身のアップデートをダウンロードし、そして新たなモジュールをダウンロードすることで自らの機能を拡張することができます。
5月、Doctor Webのウイルスアナリストは、アダルトグッズをコントロールするためのアプリ「Love Spouse」と身体活動を追跡するアプリ「QRunning」に潜むクリッカー型トロイの木馬 Android.Click.414.origin を発見しました。いずれのアプリもGoogle Playから配信されているものです。 Android.Click.414.origin はデバッグ情報を収集するコンポーネントに偽装し、アプリの新しいバージョンのいくつかに組み込まれていました。その後「Love Spouse」は新たなバージョンにアップデートされ、トロイの木馬は含まれなくなりました。一方、「QRunning」の開発者は何の対応も行っていません。 Android.Click.414.origin はモジュラー型構造を持ち、それらのモジュールを使用してさまざまな悪意のあるタスクを実行します(感染したデバイスに関する情報を収集する、密かにWebページを開く、広告を表示する、開いたページでクリックやその他の操作を実行するなど)。
7月、Doctor Webはコンピューターへの標的型攻撃に使用されるよく知られたリモートアクセス型トロイの木馬TgRatのLinuxバージョンの出現について記事を公表しました。 Linux.BackDoor.TgRat.2 と名づけられたこの新たな亜種は、ホスティングプロバイダから情報セキュリティインシデントの調査依頼を受けたDoctor Webがその調査の過程で発見したものです。同ホスティングプロバイダのクライアントの1社でDr.Webアンチウイルスによってサーバー上で疑わしいファイルが検出され、このファイルがバックドアドロッパーであることが明らかになりました。そしてそのドロッパーによってインストールされていたのが Linux.BackDoor.TgRat.2 です。このトロイの木馬はTelegramのプライベートグループ内で、そこに接続されているTelegramボットを使用して操作されます。攻撃者はTelegramメッセンジャーを通じて、感染したシステムからファイルをダウンロードする、スクリーンショットを撮る、コマンドをリモートで実行する、チャットの添付ファイルとしてファイルをアップロードするなどの動作を実行することができます。
9月初旬、Doctor Webは未然に防がれたロシアの大手鉄道貨物輸送業者に対するスピアフィッシング攻撃について記事を公表しました。添付ファイルを含んだ不審なメールが同企業の情報セキュリティ部門の目に留まり、Doctor Webのウイルスアナリストに調査が依頼されました。調査の結果、ファイルはPDFドキュメントを装ったWindowsショートカットであり、PowerShellコマンドインタープリタを起動するためのパラメータがハードコードされているということが明らかになりました。このショートカットを開くことで、サイバースパイ活動用に設計された複数の悪意のあるプログラムによる多段階でのシステムの感染が起こります。そのうちの1つがDLL検索順序ハイジャッキングを目的にYandex Browserの脆弱性 CVE-2024-6473 を悪用する Trojan.Siggen27.11306 です。このトロイの木馬は悪意のあるDLLライブラリをブラウザのインストールフォルダに配置します。このDLLファイルには、アプリケーションを正常に起動する役割を担うシステムライブラリ Wldp.dll と同じ名前が付いています。DLL検索の優先順位が高いブラウザインストールフォルダに悪意のあるライブラリが置かれているために、プログラムが起動されるとそれが最初にロードされます。さらに、この悪意のあるライブラリはブラウザのすべての権限を取得します。この脆弱性はその後修正されています。
その少し後、Doctor WebのエキスパートによりAndroid TVボックスの新たな感染事例が発見されました。 Android.Vo1d と名づけられたマルウェアが197か国で130万台近いデバイスを感染させていたというものです。この Android.Vo1d はシステムストレージ領域に自身のコンポーネントを置くモジュラー型バックドアで、攻撃者のコマンドに応じて別のプログラムを密かにダウンロードして実行する機能を備えています。
9月にはDoctor Webのリソースに対する標的型攻撃も確認されました。Doctor Webのスペシャリストによる迅速な対応によって、インフラストラクチャに危害を加えようとする企ては直ちに阻止され、ユーザーに対する影響もありませんでした。
10月、Doctor WebのウイルスアナリストはLinuxを標的とする複数の新たな悪意のあるプログラムを発見しました。これらはデータベース管理システムRedisのインストールされているデバイスに対する攻撃を調査する過程で発見されたものです。Redisには多数の脆弱性が存在するため、それらの悪用を目論むサイバー犯罪者の標的とされることが増えています。検出された脅威の中にはバックドア、ドロッパー、そして侵害したデバイス上にマイニング型トロイの木馬Skidmapをインストールするルートキットの新たな亜種がありました。このSkidmapは2019年に登場し、大規模なサーバーやクラウド環境を備えた企業を主な標的としています。
同じく10月には、仮想通貨のマイニングと窃盗を行うマルウェアを拡散させる大規模なキャンペーンが確認されました。この攻撃で2万8000人を超えるユーザーが被害を受け、その多くがロシアのユーザーでした。トロイの木馬は海賊版ソフトウェアに潜んでおり、GitHub上に作成された不正なWebページから拡散されていたほか、YouTubeに投稿された動画の下にもマルウェアをダウンロードするためのリンクが貼られていました。
11月、Doctor WebはWebサイトを開くことを目的としたトロイの木馬 Android.FakeApp.1669 の新たな亜種を複数発見しました。 Android.FakeApp.1669 はサイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得し、そのためにdnsjavaオープンソースライブラリの改変されたコードを使用するという点で他のAndroid.FakeAppトロイの木馬と異なっています。また、 Android.FakeApp.1669 は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現し、それ以外の場合は無害なアプリとして動作します。
2024年末、クライアントの1社から依頼を受けた情報セキュリティインシデント調査を行うなかで、Doctor Webのウイルスアナリストは主に東南アジアのユーザーを標的とした進行中のハッキング攻撃キャンペーンを発見しました。この攻撃キャンペーンでは、複数の悪意のあるプログラムが使用されていたほか、サイバー犯罪者の間で人気が高まりつつある最新の手法やテクニックがいくつも取り入れられていました。そのうちの1つが、Linuxオペレーティングシステムのネットワークサブシステムとそのプロセスに対するコントロールを向上させるために開発されたテクノロジーであるeBPF(extended Berkeley Packet Filter)の悪用です。このテクノロジーを悪用することで、悪意のあるネットワークアクティビティやプロセスを隠したり、機密情報を収集したり、ファイアウォールや侵入検知システムをバイパス(回避)したりすることが可能になります。もう1つは、トロイの木馬の設定ファイルをC&Cサーバー上ではなくGitHubやブログなどのパブリックプラットフォーム上に保存するというものです。そして3つ目は、悪意のあるアプリと共にポストエクスプロイトフレームワークを使用するというものです。このようなフレームワーク自体は悪意のあるものではなく、デジタルシステムのセキュリティ監査に使用されています。一方で、その機能と内蔵の脆弱性データベースによって、攻撃者にとっても魅力的なツールとなっています。
インターネット詐欺
2024年を通して、ユーザーを騙すために従来のシナリオと新たなシナリオの両方を駆使するサイバー詐欺師の活発な活動が、Doctor Webのインターネットアナリストによって確認されました。ロシアでは、さまざまな種類の詐欺サイトを使用したスキームが引き続き最も多くみられる手口となっています。それらの中には、オンラインストアやソーシャルネットワークのサイトに偽装してプロモーションや賞金等が当たる抽選を提供するものがありました。ユーザーは必ず「当選」するようになっており、存在しない賞金や賞品を受け取るために「手数料」を支払うよう求められます。
A存在しない賞金の抽選に参加するようユーザーを誘う、ロシアのオンラインストアと関連があると偽る詐欺サイト
「運試し」をして高額賞金やその他のギフトを獲得するよう勧める偽のソーシャルネットワークサイト
電子機器や家電製品などのオンラインストアを模倣し、商品を割引価格で購入できると提案する詐欺サイトも引き続き多く確認されています。このようなサイトでは、「注文」したユーザーに対しインターネットバンキングかバンクカードで支払うよう求めるものが一般的でした。ところが2024年には支払い方法としてFaster Payments System(即時決済システム)が使われ始めています。
大幅な割引価格で商品を提供する、家電量販店のサイトを模倣した偽サイト
「注文」の支払い方法の1つとしてFaster Payments System(即時決済システム)が提示される
「無料」の宝くじを提供するとうたう詐欺サイトも依然として多く見られます。抽選はオンラインで行われ、常にユーザーが「当選」するようになっています。このスキームでも、ユーザーは賞金を「受け取る」ために「手数料」を支払うよう求められます。
ユーザーは宝くじで314,906ルーブル当選したが、賞金を「受け取る」ために「手数料」を支払う必要がある
金融関連の偽サイトも未だに後を絶ちません。政府や民間企業からの金銭の受け取り、石油・ガス部門への投資、金融リテラシーのトレーニング、利益が保証されているとする「独自の」自動売買システムや「検証済み」の戦略を用いた株取引などのトピックが人気です。また、ユーザーの関心を引くために有名人の名前を使う手口も確認されています。以下の画像はそのようなサイトの例です。
「独自のWhatsAppプラットフォームで毎月最大 10,000ユーロ稼ぐ」よう勧める詐欺サイト
月14,000ドル稼ぐことができるとされる「成功できる秘密のプラットフォームを教える」ロシアの歌手シャーマン
投資サービスへのアクセスを提供し、15万ルーブルの収入を約束する石油・ガス会社の偽サイト
銀行の実際にある投資サービスを模倣した詐欺サイト
同時に、新たなスキームも発見されています。その一例が、サービス品質に関するアンケートに回答して報酬を受け取るようユーザーに持ち掛ける、大手企業のものを装った偽サイトです。それらの中には金融機関の偽サイトも含まれており、それらのサイトでユーザーは氏名、銀行口座に登録した携帯電話番号、バンクカード番号などの個人情報を提供するよう求められます。
「サービス品質向上」のためのアンケートに協力すれば6,000ルーブルもらえると主張する、銀行を装った偽サイト
このような偽サイトは世界各国で確認されています。下の画像は経済的に有望な分野に投資することで配当金を得ることができると約束する、欧州のユーザーを標的とした詐欺サイトです。
次の画像は、「Googleの新しい投資プラットフォーム」であると偽り、1000ユーロ以上稼ぐことができると宣伝する詐欺サイトです。
スロバキアのユーザーを標的とした詐欺サイトは、投資サービスで「月に19万2,460ドル以上稼ぐ」ことができると勧誘していました。
アゼルバイジャンの石油・ガス会社を装った偽サイトでは、簡単なアンケートに回答してサービスにアクセスするだけで月1000マナト以上の収入を得られるとうたっています。
年末年始には、毎年ホリデーシーズンに合わせた内容の詐欺サイトが増加します。下の画像は、ロシアのユーザーにお年玉をプレゼントするとうたう偽の仮想通貨取引所サイトです。
また別のサイトは投資会社を装い、ホリデーギフトとして支払いを受け取ることができるとしてユーザーを誘っていました。
下の画像は、「新年のオファー」の一環として、独立記念日を祝した高額金をカザフスタンのユーザーに提供するとうたう詐欺サイトです。
2024年にはその他のフィッシングサイトも発見されており、オンライン学習サービスを装った偽サイトなどがありました。以下の画像は、プログラミングのオンラインコースを提供する正規サイトを模倣した詐欺サイトです。ユーザーは「カウンセリングを受ける」ために連絡先を入力するよう促されます。
オンライン学習サービスの本物のサイトを模倣した偽サイト
Telegramアカウントの乗っ取りを目的としたフィッシングサイトも引き続き発見されており、さまざまなオンライン投票プラットフォームを装ったものが登場しました。その一例が「子どもお絵描きコンテスト」に投票するためのサイトです。ユーザーは投票の「確定」と確認コード受け取りのためと称して携帯電話番号を提供するよう求められます。受け取った確認コードをこの偽サイトで入力してしまうと、詐欺師にアカウントへのアクセスを許可してしまうことになります。
子どもお絵描きコンテストに「投票」するよう促すフィッシングサイト
同じくTelegramアカウントの乗っ取りを目的とした別のフィッシングサイトも発見されています。Telegramの有料サブスクリプションサービスであるTelegramプレミアムに「無料」で加入できるとうたい、アカウントにログインするようユーザーに促すというものです。ユーザーが入力したデータはサイバー犯罪者に送信され、アカウントの乗っ取りに使用されます。これらフィッシングサイトへのリンクを拡散する媒体として当のTelegramも利用されているというのは特筆すべき点です。多くの場合、メッセージ内に記載されているアドレスは実際に開くサイトのアドレスとは別のものになっています。
Telegram内のフィッシングメッセージ。Telegramプレミアムのサブスクリプションを「アクティブ化」 するためにリンクを開くようユーザーに要求している。記載されているリンクは実際に開くサイトのURLとは異なっている。
メッセージ内のリンクをクリックするとフィッシングサイトが開く
ユーザーがボタンをクリックすると本物そっくりのログイン画面が表示される
詐欺サイトへのリンクの拡散にはスパムメールも使用されています。2024年を通して多くのスパムキャンペーンが確認され、その中には日本のユーザーを狙った大量メールによるフィッシングキャンペーンもありました。三井住友カードをかたってカードの利用について通知し、「支払い金額」を確認するためにメール内のリンクをクリックするよう誘導するというものです。このリンクをクリックするとフィッシングサイトに飛ばされます。
三井住友カードを装い、支払い金額を確認するよう促すフィッシングメール
同じく日本のユーザーを標的にカードの請求額案内を装った別のメールの拡散も確認されています。メール内にはフィッシングサイトへのリンクが一見無害に見える形で巧妙に隠されています。
スパムメール内には本物の銀行サイトのアドレスが記載されているが、ユーザーがクリックすると偽のサイトが開かれる
欧州のユーザーを狙ったスパムキャンペーンも確認されています。ベルギーのユーザーは、銀行口座が「ブロック」されていると通知するフィッシングメールの標的となりました。ユーザーは「ブロック解除」するためにリンクをクリックするよう促されますが、このリンクは偽サイトにつながっています。
銀行口座が「ブロック」されているとしてユーザーの不安を煽るフィッシングメール
英語圏のユーザーを標的としたスパムキャンペーンもあり、その一例が、ユーザーに対する多額の送金があったと伝えて受領の「確認」を行うよう促す迷惑メールです。メール内のリンクをクリックすると、本物のインターネットバンキングサイトに酷似したフィッシングサイトが開き、偽のログインフォームが表示されます。
1,218.16 米ドルの受け取りを確認するよう促すスパムメール
ロシアのユーザーに対しては、前述のフィッシングサイトにユーザーをおびき寄せるためのスパムメールが活発に拡散されました。よく見られるトピックはオンラインストアからの賞品や割引、無料の宝くじ、投資サービスへのアクセスです。以下の画像はそのようなスパムメールの例です。
オンラインストアを装い、「賞品の抽選」に参加するよう勧めるメール
銀行を装い、「成功する投資家になる」よう勧めるメール
家電量販店を装い、電化製品を割引価格で購入できるプロモコードをアクティベートするよう勧めるメール
