3 Malware Loaders Detected in 80% of Attacks: Security Firm
2023/08/28 SecurityWeek — サイバー犯罪者たちの間で最も人気のマルウェア・ローダーは、QakBot/SocGholish/Raspberry Robin の3つであり、観測された攻撃の 80% を占めていると、サイバー・セキュリティ企業 ReliaQuest が報告している。2023年1月1日〜7月31日で観測されたインシデントのうち、QakBot 30%/SocGholish 27%/Raspberry Robin 23% を占めるという状況になっている。同社によると、観測されたインシデントの全てが、ネットワークの侵害につながったわけではなく、問題を引き起こす前に検出/停止されたローダーもあるとのことだ。
2009年から活動している QakBot (QBot/Quakbot) だが、当初はバンキング型トロイの木馬として活動していたが、その後にマルウェア・ローダーへと進化し、追加ペイロードの展開や、機密情報の窃取/横方向への移動などをサポートしてきた。
通常において、QakBot はフィッシング・メールを介して配信され、元 Conti ランサムウェアのギャング・メンバーで構成される、BlackBasta ランサムウェア・グループと関連しているようだ。
ReliaQuest は、「QakBot は、あらゆる産業や地域を標的として、場当たり的に使用され進化している永続的な脅威である。そのオペレーターには、変化に適応する能力があり、機知に富んでいるため、当分の間は存在する可能性が高い」と指摘している。
遅くとも 2018年から活動している SocGholish (別名 FakeUpdates) は、侵害した Web サイトの広大なネットワークを介して、偽のアップデートを提供する Drive-by ダウンロードにより展開される。
このローダーは、遅くとも 2007年から活動している、ロシアを拠点とするサイバー犯罪グループ Evil Corp や Exotic Lily として知られる、IAB (Initial Access Broker) に関連している。
2023年の前半に確認されたのは、SocGholish のオペレーターが、大規模な組織の侵害した Web サイトを利用して、積極的な水飲み場攻撃を実施していることだった。
2021年9月に初めて観測された、Windows ワームである Raspberry Robin は、主に USB ドライブなどのリムーバブル・デバイスを介して拡散し、Evil Corp/Silence などの各種の脅威アクターに関連している。
Raspberry Robin は、Cl0p/LockBit/TrueBot などの、幅広いランサムウェア/マルウェア・ファミリーを展開し、主に欧州の金融/政府/通信/製造業などを標的とした攻撃で確認されている。
ReliaQuest によると、これらの3つのローダーに加えて、Gootloader/Chromeloader/Guloader/Ursnif なども、今年の前半において極めて活発な動きを見せているという。
マルウェア・ローダーも、マルウェアに属するものですが、悪事を働く本物のマルウェアを、標的とする環境に取り込むことを目的としています。それにしても、このあたりの分業化は、とても合理的であり、また、急速に進化しているように感じます。よろしければ、カテゴリ Malware も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.