企業を狙ったマルウェアという考えは、範囲を超えています。 ここで、Varonis Threat Labs は、近年特に企業の情報を標的としている 9 つの重要なマルウェアの亜種を紹介します。そのほとんどは、リモート アクセス トロイの木馬 (RAT)、情報窃取型トロイの木馬、バンキング トロイの木馬です。
高度に個別化されたランサムウェアへの明確な傾向に加えて、Varonis Threat Labs は、昨年、いわゆる「コモディティ マルウェア」の拡散が増加していることにも気付きました。 この用語は、大規模な購入または無料ダウンロードが可能で、個々の被害者向けにカスタマイズされておらず、さまざまな攻撃者によって使用されるマルウェアを指します。 セキュリティ研究者の観察によると、利用可能な膨大な数のマルウェアの亜種の中で、特に次の XNUMX つが重要な役割を果たしています。
njRAT – リモート アクセス型トロイの木馬 (RAT)
2012 年後半から 2013 年初頭にかけて初めて観測された njRAT は、サイバー犯罪集団 Sparclyheason によって最初に開発された広範囲にわたるリモート アクセス型トロイの木馬 (RAT) です。 この RAT のソース コードは、2013 年 XNUMX 月に既に公開されています。 その結果、主にあまり知識のないサイバー犯罪者によって使用されます。 使用方法に関する多数のガイドとチュートリアルがアンダーグラウンド フォーラムや YouTube に投稿されています。 njRAT は依然として広く普及しており、主にスパム キャンペーンを介して配布されています。 また、疑わしいソースやファイル共有 Web サイトからダウンロードされた正当なアプリケーションの「トロイの木馬化された」バージョンにも見られます。
他の一般的な RAT プログラムと同様に、njRAT はリモート コントロールと監視機能を提供するだけでなく、ファイルの転送と実行、レジストリの操作、リモート シェルへのアクセスを行うことができます。 さらに、RAT は、接続されたマイクと Web カメラを介してオーディオとビデオをリモートで記録したり、キーロギングやパスワード盗用機能を使用したりできます。
フォームブック (XLoader)
Formbook は 2016 年初頭に初めて確認され、2020 年に XLoader に名前が変更されました。 Formbook はアンダーグラウンド フォーラムでサービスとしてのマルウェアとして入手でき、一般的に、スキルの低い攻撃者が被害者から資格情報やその他のデータを盗むために使用します。
Formbook の普及は、おそらくその入手可能性、低コスト、および使いやすさのために、2021 年も増加し続けました。 もともと、Formbook は Windows のみを対象としていました。 ただし、XLoader の導入以降、Apple macOS もサポートされています。 Formbook には、資格情報を盗む機能に加えて、ペイロードを転送して実行する機能や、強制的に再起動またはシステムをシャットダウンする機能など、RAT に似た機能もいくつか含まれています。 この点で、Formbook は、悪意のあるペイロードを拡散するためのエントリ ポイントとしても適しています。また、データの盗難以外の目的を達成するためにも適しています。
NanoCore - リモート アクセス トロイの木馬 (RAT)
NanoCore は 2013 年に初めて発見され、約 25 ドルで購入できました。 「クラックされた」バージョンは現在、サイバー犯罪のアンダーグラウンドでも広まっています。 このマルウェアは、モジュラー アーキテクチャによって補完できる典型的な RAT 機能を提供します。 プラグインを使用して、機能を大幅に拡張できます。 クラッキングされたバージョンやリークされたバージョンが利用できるおかげで、NanoCore は今日でも広く使用されています。 配布は通常、フィッシング メールや感染した海賊版によって行われます。
Lokibot - 情報スティーラー
Lokibot (Loki および LokiPWS としても知られています) は、2015 年半ばに初めて登場した情報窃盗プログラムで、ソース コードが漏洩する前にサイバー犯罪フォーラムで最初に最大 400 ドルで販売されていました。 キーロガーや暗号通貨ウォレット盗用機能などの追加モジュールをサポートしています。 ごく最近では、COVID-19 フィッシング キャンペーンに関連してよく観察されています。
Remcos - リモート アクセス トロイの木馬 (RAT)
Remcos は、「正当な」商用リモート アクセス ツールとして販売されており、開発者によって定期的に更新されています。 Remcos は、最も広く普及しているリモート アクセス型トロイの木馬の XNUMX つであり、同様のツールと同様に、主に、多数の YouTube チュートリアルからマルウェアについて詳しく知ることができる経験の浅い攻撃者を対象としています。 ただし、多くのプロの攻撃者は、独自のツールを開発する必要を回避し、攻撃の他のフェーズに集中できるようにするために Remcos も使用しています。
標準の RAT 機能に加えて、Remcos は、コードを複数のホストで同時に実行できる「リモート スクリプト」機能を提供します。 さらに、Remcos ユーザーは開発者から追加サービスを購入できます。 B. フィッシング メールを送信するための大量のメーラーと動的 DNS サービス。 これにより、コマンド アンド コントロール (C2) ホストへのアクセスを容易にする単一のホスト名が提供され、攻撃者は Remcos バイナリを更新しなくても IP アドレスを更新できるようになります。
AZORult - 情報スティーラー
2016 年の初めに初めて発見された AZORult は、時事問題に対処したり、正当なビジネス通信を装ったりするマルスパム キャンペーンを介して配布されることが多い情報窃盗プログラムです。 主に、悪意のあるマクロを含む Microsoft Office ドキュメントを配布します。 被害者がマクロを有効にすると、攻撃者のコマンド アンド コントロール インフラストラクチャが悪意のあるペイロードをダウンロードします。 次に、AZORult を起動して、ログイン資格情報、支払いカードの詳細、閲覧データ、暗号通貨ウォレットなどの機密データを盗み、それらを C2 に送信して自身を無効にします。
AZORult は他の攻撃と関連して発生することが多く、そのほとんどは他の目的を持っています。 ビジネス コミュニケーションに偽装するだけでなく、感染した「クラック」やその他の疑わしいコンテンツを介して増殖することが多く、著作権侵害に関連することがよくあります。
Netwire - リモート アクセス トロイの木馬 (RAT)
Netwire は 2012 年に初めて確認され、非常に広く普及しています。 リモート アクセス トロイの木馬 (RAT) は、注文確認や追跡通知を装うフィッシング キャンペーンを介して配布されることがよくあります。 Netwire には、標準の RAT 機能に加えて、2016 年からペイメント カードを読み取る機能がありました。 これは特に店舗の決済デバイスを対象としています。
Netwire は、そのコマンド アンド コントロール トラフィックに特別な暗号化を使用して、検出を回避し、調査を複雑にします。 盗まれたデータは送信前に暗号化されます。
Danabot - バンキング型トロイの木馬
Danabot はモジュール式のバンキング型トロイの木馬で、当初は XNUMX つのグループによって使用されていましたが、現在は Malware-as-a-Service (MaaS) として他のサイバー犯罪者に販売されています。 当初、Danabot は Web インジェクトを介して認証情報、暗号通貨アカウント、および銀行の認証情報を盗むことに重点を置いていました。 ただし、モジュラー アーキテクチャにより、マルウェアを簡単にカスタマイズして、さまざまな方法で使用することができます。 たとえば、RAT やランサムウェアの暗号化機能が利用可能です。
2021 年 XNUMX 月、人気のある UAParser.js JavaScript ライブラリの NPM パッケージが侵害され、暗号マイナーと共に Danabot をダウンロードして実行するように変更されました。 正当なパッケージは週に XNUMX 万から XNUMX 万回ダウンロードされており、サプライ チェーン攻撃の大きな影響を示しています。
Emotet – マルウェア、スパイ、ダウンローダー、ランサムウェア
Emotet は、おそらく最も有名な悪意のあるプログラムの XNUMX つです。 Emotet は、もともとバンキング型トロイの木馬として開発されました。 Emotet は情報を盗むコア機能をいくつか保持していましたが、このマルウェアは年月を経て、他の悪意のあるペイロードのダウンローダへと進化しました。 Emotet の背後にいる攻撃者はボットネットをサービスとして提供し、Ryuk ランサムウェアなどの他の一般的な脅威の主要な配布元になりました。
その間、さまざまな法執行機関による国際的な取り締まりにより、Emotet も少し静かになりました。 しかし、活動は再び増加しており、時には新しい名前で、異なる星座で行われています。
詳細は Varonis.com をご覧ください
ヴァロニスについて 2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、