先月発生した Qbot キャンペーンでは、保護された PDF ファイルを含む添付ファイルとともに電子メールが対象者に送信されるという、新しい配信方法が使用されています。
これらがダウンロードされると、Qbot マルウェアがデバイスにインストールされます。 研究者らは、マルスパムが複数の言語で送信されており、世界中の組織が標的にされる可能性があることを発見しました。 最も人気のある IoT マルウェアの 2023 つである Mirai も先月復活しました。 研究者らは、Mirai が新しいゼロデイ脆弱性 (CVE-1380-XNUMX) を悪用して TP-Link ルーターを攻撃し、そのボットネットにルーターを追加していることを発見しました。これは、史上最も広範囲に分散された DDoS 攻撃の一部で使用されています。 この最新のキャンペーンは、IoT 攻撃の蔓延に関するチェック ポイント リサーチ (CPR) の包括的なレポートに続くものです。
ソフトウェアサービスプロバイダーをターゲットにする
ドイツでは、サイバー攻撃の影響を受けるセクターにも変化が見られました。小売業と卸売業が依然として最も攻撃されている分野であるため、最初からではありませんでした。 ただし、ISP/MSP (ソフトウェア サービス プロバイダー) が 3 位に浮上する一方、XNUMX 月にはヘルスケアが最も攻撃を受けている分野の XNUMX 位に後退しました。 医療施設への攻撃は十分に文書化されており、一部の国では継続的な攻撃に直面し続けています。 この業界は依然としてハッカーにとって有利な標的となっており、機密の患者情報や支払い情報へのアクセスを彼らに与えてしまう可能性があります。 これは臨床試験や新薬や機器の漏洩につながる可能性があるため、製薬会社に影響を与える可能性がある。
「サイバー犯罪者は常に制限を回避する新しい方法に取り組んでおり、これらのキャンペーンはマルウェアがどのように適応して生き残るかをさらに証明しています。 Qbot の新たなキャンペーンは、包括的なサイバーセキュリティを導入し、電子メールの発信元と意図を評価する際のデューデリジェンスの重要性を思い出させてくれます」と Check Point Software のリサーチ担当副社長の Maya Horowitz 氏は述べています。
ドイツでトップのマルウェア
※矢印は前月比の順位変動を示します。
1. ↔ Qbot – Qakbot としても知られる Qbot は、2008 年に初めて出現したバンキング型トロイの木馬です。 ユーザーの銀行情報とキーストロークを盗むように設計されています。 一般的にスパムメールを通じて配布される Qbot は、複数の VM 対策、デバッグ対策、サンドボックス対策技術を使用して、分析を複雑にし、検出を回避します。
2. ↑ NanoCore – NanoCore は、Windows オペレーティング システムのユーザーをターゲットとするリモート アクセスのトロイの木馬で、2013 年に初めて実地で観察されました。 RAT のすべてのバージョンには、基本的なプラグインと、画面録画、暗号通貨マイニング、リモート デスクトップ コントロール、Web カメラ セッションの盗用などの機能が含まれています。
3. ↑ AgentTesla – AgentTesla は、キーロガーおよびパスワード泥棒として機能する高度な RAT で、2014 年から活動しています。 AgentTesla は、被害者のキーストロークとクリップボードを監視および収集し、スクリーンショットをキャプチャし、被害者のコンピュータにインストールされているさまざまなソフトウェア (Google Chrome、Mozilla Firefox、Microsoft Outlook 電子メール クライアントを含む) の認証情報を抽出できます。 AgentTesla は、さまざまなオンライン マーケットやハッキング フォーラムで販売されています。
上位 3 つの脆弱性
過去 48 か月間で最も悪用された脆弱性は、Web サーバーの悪意のある URL ディレクトリ トラバーサルであり、世界中の組織の 4 パーセントに影響を及ぼしました。次に、Apache Log44j のリモート コード実行が 43 パーセント、HTTP ヘッダーのリモート コード実行が XNUMX パーセントで世界的な影響を及ぼしました。
↑ Web サーバーの悪意のある URL ディレクトリ トラバーサル – ディレクトリ トラバーサルの脆弱性がさまざまな Web サーバーに存在します。 この脆弱性は、ディレクトリ トラバーサル パターンの URI を適切にサニタイズしない Web サーバーの入力検証エラーが原因で発生します。 悪用に成功すると、認証されていない攻撃者が脆弱なサーバー上の任意のファイルを公開したり、アクセスしたりする可能性があります。
↓ Apache Log4j リモート コード実行 (CVE-2021-44228) – Apache Log4j にリモート コード実行を可能にする脆弱性が存在します。 この脆弱性の悪用に成功すると、リモートの攻撃者が影響を受けるシステム上で任意のコードを実行する可能性があります。
↓ HTTP ヘッダーのリモート コード実行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTP ヘッダーを使用すると、クライアントとサーバーは送信する HTTP リクエストに追加情報を含めることができます。 リモートの攻撃者は、脆弱な HTTP ヘッダーを使用して、被害者のマシン上で任意のコードを実行する可能性があります。
トップ 3 モバイル マルウェア
先月、最も蔓延したモバイル マルウェアは Ahmyth で、次に Anubis と Hiddad が続きました。
1. ↔ AhMyth – AhMyth は、2017 年に発見されたリモート アクセス トロイの木馬 (RAT) です。 アプリストアやさまざまなウェブサイトにある Android アプリを通じて配布されます。 ユーザーがこれらの感染したアプリのいずれかをインストールすると、マルウェアはデバイスから機密情報を収集し、キーロギング、スクリーンショットの撮影、SMS メッセージの送信、カメラの起動などのアクションを実行する可能性があります。
↔ Anubis – Anubis は、Android スマートフォン向けに開発されたバンキング型トロイの木馬です。 最初の検出以来、リモート アクセス トロイの木馬 (RAT)、キーロガーおよび音声録音機能、さまざまなランサムウェア機能などの追加機能が追加されました。 Google ストアの何百もの異なるアプリケーションで発見されています。
↔ Hiddad – Hiddad は、正規のアプリを再パッケージ化してサードパーティ ストアに公開する Android マルウェアです。 その主な機能は広告を表示することですが、オペレーティング システムの重要なセキュリティの詳細にアクセスすることもできます。
ちょっと時間ありますか?
2023 年のユーザー アンケートに数分お時間をいただき、B2B-CYBER-SECURITY.de の改善にご協力ください。!10 問の質問に答えるだけで、Kaspersky、ESET、Bitdefender から賞品を獲得するチャンスがすぐにあります。
ここからアンケートに直接アクセスできます
ドイツで攻撃を受けたセクター
1. ↔ 小売/卸売 (小売/卸売)
2. ↑ IT サービス プロバイダー/マネージド サービス プロバイダー (ISP/MSP)
3. ↓ 教育・研究
Check Point の Global Threat Impact Index と ThreatCloud Map は、Check Point の ThreatCloud Intelligence を利用しています。 ThreatCloud は、ネットワーク、エンドポイント、携帯電話全体で世界中の何億ものセンサーから得られたリアルタイムの脅威インテリジェンスを提供します。 このインテリジェンスは、AI ベースのエンジンと、Check Point Software Technologies の研究開発部門である Check Point Research の独自の研究データによって強化されています。
詳細は Checkpoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。