Kaspersky の専門家は、世界中の 2.000 を超える産業企業を標的とした、急速に進化している新しい一連のスパイウェア キャンペーンを発見しました。次のように述べています。短期間の攻撃シナリオが増加しており、データが市場で販売されており、推定 7.000 の企業アカウントが侵害または盗まれています。
多くの従来のスパイウェア攻撃とは異なり、これらの攻撃は標的の数が限られており、各悪意のあるプログラムの存続期間が非常に短いです。 キャプチャされたデータは、25 以上のマーケットプレイスで販売されました。
販売中の 25 のマーケットプレイスに関する企業データ
2021 年前半、Kaspersky ICS CERT の専門家は、ICS コンピューターでブロックされたスパイウェアの脅威の統計に異常な異常があることに気付きました。 これらの攻撃で使用されたマルウェアは、Agent Tesla/Origin Logger、HawkEye など [2] などの有名なスパイウェア ファミリに属していますが、これらの攻撃は、各攻撃のターゲットの数が非常に限られているため、主流から際立っています (少数から数十個) であり、各悪意のあるプログラムの寿命は非常に短いです。
58.586 年上半期に ICS コンピューターでブロックされた 2021 個のスパイウェア サンプルをより詳細に分析したところ、それらの約 21,2% が、範囲が限られており寿命が短いこの新しい攻撃シリーズに属していたことがわかりました。 それらのライフ サイクルは約 25 日に制限されており、「従来の」スパイウェア キャンペーンの寿命よりも大幅に短くなっています。
これらの「変則的な」スパイウェア サンプルはいずれも存続期間が短く、広まっていませんが、すべてのスパイウェア攻撃の不均衡な割合を占めています。 たとえば、アジアでは、スパイウェアで攻撃されたコンピュータの 2,1 分の 11,9 が影響を受け (0,7% 中 6,3%)、ヨーロッパでは XNUMX% 中 XNUMX% でした。
会社への入り口としてのフィッシングメール
これらのキャンペーンのほとんどは、巧妙に作成されたフィッシング メールを介して、ある企業から別の企業に配信されます。 攻撃者が被害者のシステムに侵入すると、次の攻撃のためにそのデバイスを C2 (コマンド アンド コントロール) サーバーとして使用します。 サイバー犯罪者は被害者のメーリング リストにアクセスできるため、企業の電子メールを悪用し、スパイウェアをさらに増殖させることができます。
スパイウェアによってブロックされた ICS マシンの分布 - 1 年上半期の業界別 (画像: Kaspersky)。
Kaspersky の ICS-CERT テレメトリによると、世界中の 2.000 を超える産業企業が悪意のあるインフラストラクチャに組み込まれ、サイバー犯罪者によって悪用されて、連絡先組織やビジネス パートナーへの攻撃が実行されました。 Kaspersky は、これらの攻撃の結果、侵害または盗まれた企業アカウントの総数を 7.000 以上と見積もっています。
ハイジャックされたデータによる活発なオンライン取引
キャプチャされた機密データは、多くの場合、さまざまな市場に出回っています。 Kaspersky の専門家は、これらの産業キャンペーンから盗まれた資格情報を販売している 25 を超える異なる人物を特定しました。 これらのマーケットプレイスを分析した結果、企業アカウント、特にリモート デスクトップ アカウント (RDP) のアクセス データに対する需要が高いことが明らかになりました。 調査対象のマーケットプレイスで販売されたすべての RDP アカウントの 46% 以上が米国の企業に属しており、残りはアジア、ヨーロッパ、ラテン アメリカからのものです。 ドイツでは、これは製造業の企業に影響を与えた、販売されたすべての RDP アカウントの約 4% (約 2.000 アカウント) でした。
サービスとしてのスパイウェア
地域別の異常なスパイウェアの分布と SMTP ベースの C2 のホスト (画像: Kaspersky)。
もう XNUMX つの成長市場は、Spyware-as-a-Service です。 一部の人気のあるスパイウェア プログラムのソース コードが公開されて以来、それらはオンライン ストアでサービスの形で簡単に入手できます。 開発者は、マルウェアを製品として販売するだけでなく、マルウェア ビルダーにライセンスを供与し、マルウェアを作成するために事前に構成されたインフラストラクチャへのアクセスも許可します。
「2021 年、サイバー犯罪者はスパイウェアを多用して産業用コンピューターを攻撃しました。 Kaspersky ICS CERT の Security Expert、Kirill Kruglov は次のように述べています。 「検出を回避するために、サイバー犯罪者は各攻撃のサイズを縮小し、各マルウェア サンプルの使用を制限して、新しく作成されたものにすばやく置き換えます。 その他の戦術には、マルウェアを拡散するための企業の電子メール インフラストラクチャの広範な悪用が含まれます。 これは、これまでスパイウェアで見られたものとは異なります。 今年はこのような攻撃がより蔓延すると予想しています。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。
Kaspersky ICS の予測: https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/