ウォッチガードは、インターネット セキュリティ レポート Q3 (ISR) で、商用の中間者攻撃、JavaScript ベースのエクスプロイト キット、Gothic Panda 関連のマルウェアを分析しています。 最大の脅威は、HTTPS 暗号化接続を介してのみ送信されました。
年末の直前に、WatchGuard Technologies は最新のインターネット セキュリティ レポート (ISR) を発行しました。 ここでは、最も重要なマルウェアの傾向と、ネットワークとエンドポイントに対する現在関連する攻撃方法について、通常の方法で詳細に説明しています。 WatchGuard Threat Lab の調査結果によると、2022 年の第 XNUMX 四半期の最大のマルウェア脅威は、暗号化された接続のみを介して送信されたものでした。
攻撃者は HTTPS を悪用します
ICS および SCADA システムへの攻撃も増加しています。 Minecraft のチート エンジンで悪意のあるペイロードが発見されたため、コンピューター ゲーマーも危険にさらされています。 ISR には、その他のさまざまな情報や現在の脅威状況の例も含まれています。
「HTTPS 接続を検査することの重要性はいくら強調してもしすぎることはありません。組織は、たとえ調整や例外規則が必要であっても、適切なセキュリティ機能を確実に有効にする必要があります。 マルウェアの大部分は、暗号化された HTTPS 経由で侵入するためです。 この攻撃ベクトルをチェックしないままにしておくと、あらゆる種類の脅威が無防備になります」と WatchGuard Technologies の最高セキュリティ責任者である Corey Nachreiner は述べています。 「Exchange サーバーや SCADA 管理システムにもさらに注意を払う必要があります。 これらのパッチが利用可能になり次第、この更新プログラムをすぐに適用してアプリケーションを更新することが重要です。 攻撃者は、脆弱性をまだ修正していない企業から利益を得ています。」
第 3 四半期インターネット セキュリティ レポートの主な調査結果
Internet Security Report Q3 -ISR の調査結果 (画像: WatchGuard)。
マルウェアの大部分は、暗号化された接続を介して侵入します
Agent.IIQ マルウェアは、2022 年 10 月から 1 月までの通常のトップ 82 マルウェア リストで 18 位にランクされましたが、暗号化されたマルウェア ラインナップでは XNUMX 位になりました。 すべての Agent.IIQ 検出が HTTPS 接続で見つかったためです。 分析が示すように、すべてのマルウェアの XNUMX% が安全な接続を介して送信されましたが、暗号化されていないのは XNUMX% のみでした。 HTTPS トラフィックが Firebox で検査されない場合、マルウェアの大部分が検出されない可能性が高くなります。 この場合、企業は効果的なエンドポイント プロテクションが実装され、少なくともいわゆるサイバー キル チェーンの別の場所でマルウェアを傍受できる可能性を期待するしかありません。
ICS および SCADA システムは、引き続き攻撃の対象として人気があります
2022 年第 5 四半期の最も一般的な 1.2.1 のネットワーク攻撃のリストに新しく追加されたのは、一度に複数のプロバイダーを攻撃するタイプの SQL インジェクションの攻撃です。 そのような企業の XNUMX つに Advantech があります。Advantech の WebAccess ポータルは、さまざまな重要なインフラストラクチャ上の SCADA システムへのアクセスを提供しています。 第 XNUMX 四半期のもう XNUMX つの大規模な攻撃は、ネットワークの脅威のトップ XNUMX にもランクインし、Schneider Electric の U.motion Builder ソフトウェア バージョン XNUMX 以前に影響を与えました。 これは、攻撃者がまだ可能な限り積極的にシステムを侵害しようとしていることを明確に示しています。
Exchange サーバーの脆弱性は引き続きリスクをもたらします
Threat Lab によって発見された最新の CVE 脆弱性 (CVE-2021-26855) は、オンプレミス サーバー上の Microsoft Exchange Server Remote Code Execution (RCE) に影響を与えます。 CVE スコア 9,8 を取得したこの RCE 脆弱性は、悪用されることが知られています。 この脆弱性の日付と深刻度も、HAFNIUM グループによって悪用された脆弱性であるため、注目を集めます。 影響を受ける Exchange サーバーのほとんどは既にパッチが適用されている可能性がありますが、一部のサーバーはまだ脆弱であり、危険にさらされています。
フリーソフトウェアのユーザーを標的とする攻撃者
Internet Security Report Q3 -ISR (画像: ウォッチガード) のさらなる調査結果。
Fugrafa トロイの木馬は、悪意のあるコードを挿入するマルウェアをダウンロードします。 3 年第 2022 四半期、ウォッチガードのアナリストは、人気ゲーム Minecraft のチート エンジンで見つかった亜種を調査しました。 主に Discord で共有されたこのファイルは、Minecraft Cheat Engine Vape V4 Beta のふりをしていますが、それだけではありません。 Agent.FZUW は Variant.Fugrafa といくつかの類似点を共有していますが、チート エンジンを介してインストールするのではなく、ファイル自体にクラックされたソフトウェアが含まれているようです。 特定のケースでは、Racoon Stealer への接続もありました。これは、暗号通貨サービスからアカウント情報を盗むために使用される暗号通貨ハッキング キャンペーンです。
LemonDuck マルウェアはクリプトマイナー以上のものになりました
ブロックまたは追跡されたマルウェア ドメインの数は 2022 年第 XNUMX 四半期に減少しましたが、無防備なユーザーを標的とする攻撃の数が依然として多いことは容易にわかります。 上位のマルウェア ドメイン リストに新たに XNUMX つが追加されました。XNUMX つは以前の LemonDuck マルウェア ドメインに属し、XNUMX つ目は Emotet に分類されたドメインの一部でした。通常よりも多くの新しいマルウェア サイトがありました。 攻撃者がユーザーを欺く新しい方法を模索しているため、仮想通貨の世界ではこの傾向がさらに強まることが予想されます。 効果的な対策は、DNS レベルでの積極的な保護です。 これにより、ユーザーのシステムを監視し、ハッカーがマルウェアやその他の深刻な問題を会社に持ち込むのを防ぐことができます。
エクスプロイト キットでの JavaScript 難読化
署名 1132518 - ブラウザに対する JavaScript 難読化攻撃の指標 - は、最も一般的なネットワーク攻撃署名のリストに新たに追加された唯一の署名でした。 JavaScript は長い間一般的な攻撃ベクトルであり、サイバー犯罪者は常に JavaScript ベースのエクスプロイト キットを使用して、マルバタイジングやフィッシング攻撃を行ってきました。 ブラウザーの防御が向上するにつれて、攻撃者は悪意のある JavaScript コードを難読化する取り組みを強化しています。
標準化された敵対者中間攻撃の構造
多要素認証 (MFA) は、IT セキュリティの過程で非常に重要な手段であることは否定できませんが、万能薬でもありません。 この最も良い例は、Adversary-in-the-Middle (AitM) 攻撃の急速な増加と商業化です。 Threat Lab の調査では、悪意のあるアクターがますます高度化する AitM 技術にどのように移行しているかが示されています。 サービスとしてのランサムウェアの提供がますます頻繁になっているのと同様に、2022 年 XNUMX 月に EvilProxy と呼ばれる AitM ツールキットがリリースされたことで、適切に高度な攻撃への参入障壁が大幅に低下しました。 それらを防御する唯一の方法は、技術ツールを組み合わせてユーザーの意識を高めることです。
Gothic Panda に関連するマルウェア ファミリ
2022 年第 XNUMX 四半期の Threat Lab のレポートでは、すでにこの言語は Gothic Panda に当てはまりました。Gothic Panda は、中国国家安全部と密接な関係を持つサイバースパイ グループです。 興味深いことに、第 XNUMX 四半期の暗号化されたマルウェアのトップ リストには、Taidoor と呼ばれるマルウェア ファミリが含まれています。これは、Gothic Panda によって開発されただけでなく、関連する中国系の攻撃者によってのみ使用されました。 これまでのところ、関連するマルウェアは通常、日本と台湾の標的に焦点を当てていましたが、分析された Generic.Taidoor のサンプルは、主にフランスの組織を標的としていることがわかりました。これは、特定の国が支援するサイバー攻撃を明確に示している可能性があります。
野生の新しいランサムウェアと恐喝グループ
WatchGuard Technologies (画像: WatchGuard) の最高セキュリティ責任者 (CSO)。
今後、WatchGuard Threat Lab は、ランサムウェア イニシアチブの検出にさらに専念します。 この目的のために、基盤となる脅威インテリジェンス オプションが特別に拡張されました。 2022 年の第 200 四半期に、LockBit は 2022 件以上の関連するインシデントでリストのトップになりました。これは、XNUMX 年 XNUMX 月から XNUMX 月にかけて XNUMX 番目に話題になったランサムウェア グループ Basta のほぼ XNUMX 倍です。
ウォッチガードの四半期調査レポートは、所有者が脅威研究所の調査を直接サポートするためにデータを共有することを選択したアクティブなウォッチガード Firebox から匿名化された Firebox フィード データに基づいています。 第 17,3 四半期に、ウォッチガードは合計 211 万以上のマルウェア バリアント (デバイスあたり 2,3) と 28 万以上のネットワーク脅威 (デバイスあたり 3) をブロックしました。 完全なレポートでは、2022 年第 XNUMX 四半期のその他のマルウェアとネットワークの傾向、推奨されるセキュリティ戦略、あらゆる規模と業界の組織に対する防御のヒントなどについて詳しく説明しています。
詳しくは WatchGuard.com をご覧ください
ウォッチガードについて WatchGuard Technologies は、IT セキュリティ分野の主要プロバイダーの 250.000 つです。 広範な製品ポートフォリオは、高度に開発された UTM (統合脅威管理) および次世代ファイアウォール プラットフォームから、包括的な WLAN 保護およびエンドポイント保護のための多要素認証および技術、ならびに IT セキュリティに関連するその他の特定の製品およびインテリジェント サービスにまで及びます。 世界中の XNUMX を超える顧客が、エンタープライズ レベルの高度な保護メカニズムを信頼しています。