7月の最も望まれるマルウェア:Emotetが5か月の不在後に再び攻撃

(グーグル翻訳文)7月の最も望まれる(※「Wanted」だ…。お尋ね者の…、という感じだろう)マルウェア:Emotetが5か月の不在後に再び攻撃
https://blog.checkpoint.com/2020/08/07/julys-most-wanted-malware-emotet-strikes-again-after-five-month-absence/

『Check Point Researchは、銀行の認証情報を盗み、ターゲットネットワーク内に拡散することを目的とした、非活動期間後のEmotetボットネット拡散スパムキャンペーンの急激な増加を発見しました

2020年7月の最新のグローバル脅威インデックスは、5か月の不在の後、Emotetがインデックスの1位に急上昇し、世界の5%の組織に影響を与えていることを明らかにしました。

2020年2月以降、Emotetの活動(主にマルスパムキャンペーンの波を送る)は鈍化し始め、7月に再び出現するまで最終的には停止しました。このパターンは、Emotetボットネットが夏季に活動を停止したが、9月に再開した2019年に観察されました。

7月、Emotetはマルスパムキャンペーンを広め、被害者にTrickBotとQbotを感染させました。これらは、銀行の資格情報を盗んだり、ネットワーク内に広まったりするために使用されています。一部のマルスパムキャンペーンには、「form.doc」や「invoice.doc」のような名前の悪意のあるdocファイルが含まれていました。研究者によると、悪意のあるドキュメントはPowerShellを起動して、リモートのWebサイトからEmotetバイナリをプルし、マシンに感染してボットネットに追加します。Emotetの活動の再開は、ボットネットの規模と能力を世界的に強調しています。

Emotetが今年の数か月間休止していて、2019年に最初に確認されたパターンCheck Pointを繰り返したのは興味深いことです。CheckPointの研究者は、ボットネットの背後にいる開発者が機能と機能を更新していると想定しています。しかし、それは再びアクティブになるため、組織はこれらの脅威を運ぶマルスパムのタイプを特定する方法について従業員を教育し、電子メールの添付ファイルを開いたり、外部ソースからのリンクをクリックしたりするリスクについて警告する必要があります。企業は、そのようなコンテンツがエンドユーザーに到達するのを防ぐことができるマルウェア対策ソリューションの展開も検討する必要があります。

調査チームはまた、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、次に「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を与えると警告しています。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

上位のマルウェアファミリ

*矢印は、前月と比較したランクの変化に関連しています。

今月、Emotetは最も人気のあるマルウェアであり、組織の5%が世界的に影響を及ぼし、続いてDridexとAgent Teslaがそれぞれ4%の組織に影響を及ぼしています。

1、↑Emotet – Emotetは高度な自己増殖型のモジュール型トロイの木馬です。Emotetは元々はバンキング型トロイの木馬でしたが、最近では他のマルウェアや悪意のあるキャンペーンの配布元として使用されています。検出を回避するために、永続性と回避技術を維持するために複数の方法を使用します。さらに、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散する可能性があります。
2、↑Dridex – DridexはWindowsプラットフォームを標的とするトロイの木馬で、スパムメールの添付ファイルを介してダウンロードされると報告されています。Dridexはリモートサーバーに接続し、感染したシステムに関する情報を送信します。また、リモートサーバーから受信した任意のモジュールをダウンロードして実行することもできます。
3、↓エージェントテスラ –エージェントテスラは、被害者のキーボード入力、システムクリップボードを監視および収集し、スクリーンショットを撮り、被害者のマシンにインストールされているさまざまなソフトウェア(以下を含む)に属する資格情報を持ち出すことができる、キーロガーおよび情報スティーラーとして機能する高度なRATです。 Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアント)。
4、↑Trickbot – Trickbotは、新しい機能、機能、および配布ベクトルで常に更新されている主要な多機能ボットです。これにより、Trickbotは柔軟でカスタマイズ可能なマルウェアになり、多目的キャンペーンの一部として配布できます。
5、↑Formbook – Formbookは、さまざまなWebブラウザーから資格情報を収集し、スクリーンショットを収集し、キーストロークを監視および記録し、C&Cの注文に従ってファイルをダウンロードして実行できるinfoStealerです。
6、↓XMRig – XMRigは、Monero暗号通貨のマイニングプロセスに使用されるオープンソースのCPUマイニングソフトウェアであり、2017年5月に初めて公開されました。
7、↑Mirai – Miraiは、有名なモノのインターネット(IoT)マルウェアで、Webカメラ、モデム、ルーターなどの脆弱なIoTデバイスを追跡し、ボットに変えます。ボットネットは、事業者が大規模なサービス拒否(DoDoS)攻撃を仕掛けるために使用します。
8、↓Ramnit – Ramnitは、銀行の資格情報、FTPパスワード、セッションCookie、個人データを盗む銀行用トロイの木馬です。
9、↓Glupteba – Gluptebaは、徐々にボットネットに成熟したバックドアです。2019年までに、公開のBitCoinリストを介したC&Cアドレス更新メカニズム、統合されたブラウザスティーラー機能、ルーターエクスプロイトが含まれていました。
10、↑RigEK – RigEKは、Flash、Java、Silverlight、およびInternet Explorerのエクスプロイトを提供します。感染チェーンは、脆弱なプラグインをチェックしてエクスプロイトを配信するJavaScriptを含むランディングページへのリダイレクトから始まります。

よく利用される脆弱性

今月は、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、続いて「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を及ぼします。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

1、↑MVPower DVRリモートコード実行 – MVPower DVRデバイスに存在するリモートコード実行の脆弱性。リモートの攻撃者は、この脆弱性を悪用して、巧妙に細工されたリクエストを介して、影響を受けるルーターで任意のコードを実行できます。
2、↓ OpenSSL TLS DTLSハートビート情報漏えい(CVE-2014-0160; CVE-2014-0346) – OpenSSLに存在する情報漏えいの脆弱性。この脆弱性は、TLS / DTLSハートビートパケットを処理する際のエラーが原因です。攻撃者はこの脆弱点を利用して、接続されているクライアントまたはサーバーのメモリの内容を公開することができます。
3、↑ HTTPペイロードを介したコマンドインジェクション– HTTPペイロードを介したコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に細工したリクエストを被害者に送信することにより、この問題を悪用できます。悪用に成功すると、攻撃者はターゲットマシンで任意のコードを実行できるようになります。
4、↔ 茶山(※英文だと、「Dasan」だ…。DASAN Network Solutionsのことか…。韓国の会社だ…。「通信事業者向けのネットワークソリューションに注力し、グローバル企業として成長しています。 KT、SKB、LGU+など、韓国通信事業者における市場シェアは1位です。また、日本の通信事業者、台湾のCHT、ベトナムのViettelなど、グローバル通信事業者にもソリューションを提供し、世界市場での競争力を認められています。」ということだ…。)GPONルータ認証バイパス(CVE-2018から10561) -認証バイパスの脆弱性が茶山GPONルータに存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。
5、↑HTTPヘッダーのリモートコード実行(CVE-2020-13756)– HTTPヘッダーにより、クライアントとサーバーはHTTPリクエストで追加情報を渡すことができます。リモートの攻撃者は、脆弱なHTTPヘッダーを使用して、犠牲PCで任意のコードを実行する可能性があります。
6、↑ Apache Struts2コンテンツタイプのリモートコード実行– Jakartaマルチパートパーサーを使用したApache Struts2にリモートコード実行の脆弱性が存在します。攻撃者は、ファイルアップロードリクエストの一部として無効なコンテンツタイプを送信することにより、この脆弱性を悪用する可能性があります。悪用に成功すると、影響を受けるシステムで任意のコードが実行される可能性があります。
7、↓ Webサーバーに公開されたGitリポジトリの情報漏えい– Gitリポジトリで情報漏えいの脆弱性が報告されています。この脆弱性の不正利用に成功すると、アカウント情報が意図せずに開示される可能性があります。
8、↑SQLインジェクション(いくつかの手法)–アプリケーションのソフトウェアのセキュリティの脆弱性を利用しながら、クライアントからアプリケーションへの入力にSQLクエリのインジェクションを挿入します。
9、↑ PHP php-cgiクエリ文字列パラメーターのコード実行 –リモートコード実行の脆弱性がPHPで報告されています。この脆弱性は、PHPによるクエリ文字列の不適切な解析とフィルタリングが原因です。リモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することにより、この問題を悪用する可能性があります。悪用に成功すると、攻撃者はターゲット上で任意のコードを実行できるようになります。
10、↓WordPress portable-phpMyAdminプラグインの認証バイパス– WordPress portable-phpMyAdminプラグインに認証バイパスの脆弱性が存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。

トップモバイルマルウェアファミリー

今月はxHelperが最も人気のある(※「流行している」だろう…)マルウェアで、NecroとPreAMoがそれに続きます。

1、xHelper –他の悪意のあるアプリをダウンロードして広告を表示するために使用される、2019年3月以降に流行した悪意のあるアプリケーション。アプリケーションはユーザーから身を隠すことができ、アンインストールされた場合に備えて再インストールされます。
2、Necro – NecroはAndroidトロイの木馬ドロッパーです。他のマルウェアをダウンロードし、侵入型の広告を表示したり、有料サブスクリプションを請求することでお金を盗んだりできます。
3、PreAMo – PreAmoはAndroidマルウェアで、Presage、Admob、Mopubの3つの広告代理店から取得したバナーをクリックしてユーザーを模倣します。』

 ※ まあまあ、ありとあらゆる「コード」に脆弱性があり、「機密情報」が盗まれる危険性がある…、ということだ…。特に、「リモート」で「操作可能なもの」は、危ない…、ということだ…。


 そういうことに「無頓着な」ヤカラが、爆発的に増加しているのが「現状」だ…。「IoT」とは、そういうことだ…。「対策」なるものも、そういうのが「現状」だということを前提に、立てないとならないという話しになる…。あらゆる端末の90%以上(98%くらいもか)は、「抜かれている」と考えた方がいい…。