サイバー犯罪者は、新しい開発に非常に積極的に取り組んできました マルウェア サンプルと悪意のあるアプローチの改善. PurpleSecの統計によると, 全体にわたるサイバー犯罪活動 2021 上がっています 600% COVID-19パンデミックによる.
結果として, サイバーセキュリティ研究者はいくつかの新しいものを分析しました, これまでに見られなかったマルウェアの断片. 選択しました 10 過去数か月間に野生で検出されたさまざまな機能を備えた新しい脅威, Androidをターゲットにする, マックOS, ウィンドウズ, およびLinux:
- 2つの新しいマルウェアローダー: WslinkとSquirrelWaffle;
- Linuxルートキット, FontOnLake/HCRootkitと呼ばれます;
- 2つのAndroidバンキング型トロイの木馬: GriftHorseとErmac;
- 2つの洗練されたバックドア: FoggyWebとSolarmarker;
- メリス DDoS ボットネット;
- 独自の暗号化を使用するLockFileランサムウェア;
- で検出された 2020 XCSSETMacマルウェア, 新しい機能で更新されました.
免責事項: この記事に記載されているサイバー脅威は、 2021. 私たちのトップ 10 の選択 2021 マルウェアは、進化し続ける脅威の状況の一例にすぎません.
Wslinkマルウェアローダー
これまで知られていなかったマルウェアローダーが10月に発見されました, 2021. と呼ばれる Wslink, ツールは「シンプルでありながら注目に値する」,」は、悪意のあるWindowsバイナリをロードできます. ローダーは中央ヨーロッパに対する攻撃で使用されています, 北米, と中東.
これまで文書化されていなかったこのローダーのユニークな点は、サーバーとして実行し、受信したモジュールをメモリ内で実行できることです。. ESETの研究者がまとめたレポートによると, 初期の妥協ベクトルも不明です. 研究者は、ローダーが受け取ることになっているモジュールのいずれも取得できませんでした. コードなし, 機能または操作上の類似性は、ローダーが既知の脅威アクターによってコーディングされたことを示唆しています.
SquirrelWaffleマルウェアローダー
10月に別のマルウェアローダーが出現しました 2021, スパム操作で「次の大きなもの」になる可能性がある. 吹き替え SquirrelWaffle, 脅威は、悪意のあるMicrosoftOfficeドキュメントの「スパムスパム」です。. キャンペーンの最終目標は、有名なQakbotマルウェアを配信することです, だけでなく、コバルトストライク. これらは、世界中の組織を標的にするために使用される最も一般的な犯人の2つです。.
CiscoTalosの研究者によるとEdmundBrumaghin, マリアーノグラツィアーノとニックメイビス, 「SquirrelWaffleは、脅威アクターにシステムとそのネットワーク環境への最初の足掛かりを提供します。」この足場は、後でさらなる侵害やマルウェア感染を促進するために利用できます, ハッカーの現金化の好みに応じて.
「組織はこの脅威に注意する必要があります, 近い将来、脅威の状況全体で存続する可能性が高いため,」研究者は言った. 同じ口径の以前の脅威はEmotetです, 何年もの間組織を悩ませてきた. Emotetの運用が法執行機関によって中断されたため, セキュリティ研究者は、新しい同様のプレーヤーが登場するのを待っていました. そしてそれは持っています…
FontOnLake /HCRootkitLinuxルートキット
FontOnLake / HCRootkit 新しいです, Linuxシステムを標的とするこれまでに見られなかったマルウェアファミリー. ESETの研究者による吹き替えFontOnLake, およびHCRootkitbyAvast and Lacework, マルウェアにはルートキット機能があります, 高度な設計と低い有病率, これは主に標的型攻撃を対象としていることを示唆しています.
研究者によると, FontOnLakeルートキットは継続的に新機能でアップグレードされています, 活発に開発されていることを意味します, そしてそれはで使用され続ける可能性が高いです 2022. マルウェアのVirusTotalサンプルは、野生での最初の使用が5月にさかのぼることを明らかにしています 2020. マルウェアは東南アジアのエンティティを標的にしているようです, ただし、他の地域はまもなくターゲットリストに追加される可能性があります.
マルウェアは、そのオペレーターにリモートアクセスを許可します, クレデンシャルの収集やプロキシサーバーとして使用できます.
GriftHorseAndroidトロイの木馬
悪質なAndroidトロイの木馬, と呼ばれる GriftHorse 積極的なモバイルプレミアムサービスキャンペーンに隠されて、数億ユーロを盗んだ. この発見は、トロイの木馬が悪意のあるAndroidアプリケーションを使用して、ユーザーの操作を活用してリーチと感染を拡大していることを発見したZimperiumzLabsの研究者からのものです。.
「これらの悪意のあるAndroidアプリケーションは、ストアの説明と要求された権限を見ると無害に見えます, しかし、この誤った自信は、ユーザーが知らないうちに同意なしにサブスクライブしたプレミアムサービスに対して毎月請求されると変化します。,」レポートは明らかにした.
法医学的証拠は、GriftHorseの脅威アクターが11月から運用を開始していることを示しています 2020. 驚くことではないが, 関連する悪意のあるAndroidアプリはGooglePlayを通じて配布されました, しかし、サードパーティのアプリストアも活用されました. Googleへの開示後, 同社はPlayストアから悪意のあるアプリを削除しました. 悪いニュースは、元のレポートの時点で、アプリがサードパーティのアプリリポジトリからダウンロードできることです。 (9月 2021).
ErmacAndroidトロイの木馬
ERMACは別のものです, 9月に検出された以前は検出されなかったAndroidバンキング型トロイの木馬 2021. このマルウェアは、ブラックロックのサイバー犯罪者によって作成されたようで、悪名高いケルベロスのルーツに基づいています。.
「調査すると ERMAC, ERMACは、有名なマルウェアCerberusのコードごとの継承者であることがわかります。. C2との通信時にほぼ同じデータ構造を使用します, 同じ文字列データを使用します, 等,」とThreatFabricは述べています. 研究者の第一印象は、新しいトロイの木馬はケルベロスの別の亜種であるということでした. 異なる名前を持ち、異なる難読化手法と新しい文字列暗号化を使用しているにもかかわらず, ERMACは、ケルベロスベースの別のトロイの木馬です。.
元のCerberusとの違いは、ERMACがコマンドアンドコントロールサーバーと通信するときに別の暗号化スキームを利用することです。. データはAES-128-CBCで暗号化されています, エンコードされたデータの長さを含むダブルワードが前に付けられます, レポートによると.
ブラックロックのマルウェアオペレーターとの明確なつながりは、コマンドアンドコントロールと同じIPアドレスの使用です。.
FoggyWebポストエクスプロイトバックドア
NOBELIUMの脅威アクターに起因する野生の新しいバックドア, SUNBURSTバックドアの背後にあると考えられています, TEARDROPマルウェア, および「関連コンポーネント」.
Microsoft ThreatIntelligenceCenterによると (MSTIC), いわゆる FoggyWeb 悪用後のバックドアです. NOBELIUMの脅威アクターは、複数の手法を使用して資格情報の盗難を実行します. 現在の目標は、ActiveDirectoryフェデレーションサービスへの管理者レベルのアクセスを取得することです。 (AD FS) サーバー.
バックドアは、「パッシブ」および「高度にターゲットを絞った」とも呼ばれます,」と高度なデータ抽出機能を備えています. 「また、コマンドアンドコントロールから追加の悪意のあるコンポーネントを受け取る可能性があります (C2) サーバーと侵害されたサーバー上でそれらを実行します,」研究者は付け加えた. マルウェアがセキュリティアサーションマークアップ言語の悪用を許可することによって動作することも注目に値します (SAML) ADFSのトークン.
「ADFSサーバーを保護することは、NOBELIUM攻撃を軽減するための鍵です。. マルウェアの検出とブロック, 攻撃者の活動, AD FSサーバー上のその他の悪意のあるアーティファクトは、既知のNOBELIUM攻撃チェーンの重要なステップを破る可能性があります,」マイクロソフトは結論を出しました.
ソーラーマーカーバックドア
ソーラーマーカーは、多段式の高度にモジュール化されたバックドアおよびキーロガーです。, .NETバックドアを実行する非常に難読化されたPowerShellローダー.
ソーラーマーカー 活動は、クラウドストライクとシスコタロスの研究者によって独立して観察されました. 両社は昨年ソーラーマーカーを検出しました, 10月と9月, それぞれ. でも, Talosによると、一部のDNSテレメトリデータは4月までさかのぼります 2020. これは、研究者が3つの主要なDLLコンポーネントと、同様の動作を示す複数のバリアントを発見したときです。.
「Solarmarkerの進行中のキャンペーンと関連するマルウェアファミリーは懸念を抱いています. 当初は、比較的検出されないまま、かなりの時間にわたって動作および進化することができました。,」と研究者たちは結論として述べています. 彼らはまた、マルウェアに新しい戦術と手順を含める可能性が高いソーラーマーカーの作者からのさらなる行動と発展を見ることを期待しています.
MerisDDoSボットネット
6月末に, 2021, ロシアの企業Qratorのセキュリティ研究者は、「新しい種類のボットネット」の監視を開始しました。その後、Yandexとの共同研究により、「ほぼリアルタイムで出現する」この新しいDDoS脅威についてさらに詳しく知ることができました。.
かなり充実している, 絶えず成長する攻撃力, Qratorが言ったように, 何万ものホストデバイスの形で発見されました. ボットネットは吹き替えられました メリス, ラトビア語でペストを意味する.
"別々に, QratorLabsは 30 000 いくつかの攻撃を通じて実際の数のデバイスをホストする, とYandexはについてのデータを収集しました 56 000 ホストを攻撃する,」公式レポートによると. この数はおそらくさらに高いです, 到達 200,000. このボットネットのデバイスは非常に高性能であり、イーサネット経由で接続された統計的に平均的なデバイスではないことは注目に値します。.
ニューミライ?
「一部の人々や組織はすでにボットネットを「みらいの帰還」と呼んでいます。, 正確ではないと思います,」Qratorは指摘しました. 研究者はこの新しいボットネットの背後にある悪意のあるコードを見たことがないので, どういうわけかみらいと関係があるのかわからない. でも, それが一緒にバンドするデバイスはたった1つのメーカーから来ているので, Mikrotek, MerisボットネットはMiraiとは何の関係もない可能性が高いです.
LockFileランサムウェア
The LockFileランサムウェア 7月に登場 2021. ランサムウェアは、攻撃でMicrosoftExchangeサーバーのProxyShellの脆弱性を悪用しています. 欠陥は「パッチが適用されていないターゲットを突破するために展開されます, オンプレミスのMicrosoftExchangeサーバー, その後、ドメインの制御を奪うためのPetitPotamNTLMリレー攻撃が続きます,ソフォスのMarkLomanによると.
このランサムウェアで最も注目すべき点, でも, その暗号化です. 断続的な暗号化は、これまでのところ既知のランサムウェアでは使用されていません。, そしてそれは回避目的のために脅威アクターによって選ばれました.
断続的な暗号化はどのように機能しますか? 暗号ウイルスはすべてを暗号化します 16 ランサムウェア保護ソリューションによる検出を回避するためのファイルのバイト数. どうやら, この方法で暗号化されたドキュメントは、暗号化された元のドキュメントと非常によく似ています.
ランサムウェア対策ツールがいわゆる「カイ二乗」を使用する場合、回避が可能です。 (カイ2乗)" 分析, この分析が行われる統計的方法を変更し、したがってそれを混乱させる.
ランサムウェアがコマンドアンドコントロールサーバーに接続する必要がないことも注目に値します, レーダー下の動作をさらに洗練させます, これは、インターネットにアクセスできないマシン上のデータを暗号化できることを意味します.
XCSSETMacマルウェア
3月, 2021, Sentinel Labsの研究者は、iOS開発者を対象としたトロイの木馬化されたXcodeプロジェクトに気づきました。. プロジェクトは合法的なものの悪意のあるバージョンでした, GitHubで利用可能なオープンソースプロジェクト, iOSプログラマーがiOSタブバーをアニメーション化するためにいくつかの高度な機能を使用できるようにする.
同様のキャンペーンが4月に検出されました, Xcode開発者をターゲットにする, Appleの新しいM1チップを実行するMacを搭載. マルウェアは、暗号通貨アプリケーションから機密情報を盗むこともできます.
いわゆる XCSSETマルウェア 8月に最初に発見されました, 2020, 変更されたXcodeIDEプロジェクトを介して拡散していたとき. マルウェアは通常、ペイロードモジュールを再パッケージ化して正規のMacアプリとして表示することで機能します, 最終的にローカルXcodeプロジェクトに感染します.
マルウェアのモジュールには、資格情報の盗用が含まれています, スクリーンショットのキャプチャ, 悪意のあるJavaScriptをWebサイトに挿入する, アプリデータを盗む, 場合によっては, ランサムウェア機能も.
新しいXCSSETバリアントは、AppleM1チップ用に特別にコンパイルされています. これは、マルウェア事業者が最新のAppleテクノロジーに適合するようにマルウェアを適応させていることを明確に示しています。.
結論は…
上記のすべてのマルウェアの事例は、適切な保護の重要性を示しています, 予防と優れたオンライン衛生習慣. これらの厄介な時代に, 私たちのオンラインの安全性を考えることがいかに重要であるかを忘れないでください, それも.
PS: この記事が役に立ったと思ったら, 必ずお読みください: