MaaS 感染が最大の脅威:2023年下半期のサイバー攻撃 – Darktrace 調査

Malware-as-a-Service Now the Top Threat to Organizations

2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。

Darktrace の研究者たちは、「リバース・エンジニアリングと検知分析を通じて、マルウェアの系統は、最低でも2つの機能を持つものが徐々に開発されており、より多くの既存のツールとの相互運用が可能になっている」と指摘している。これらの悪意のツールは、ファイルを流出させることなくデータや認証情報の窃取が可能であり、検出をされ難くなっているため、組織にとって特に危険なものになる。

その顕著な例が、情報窃取型の RAT マルウェア ViperSoftX である。このツールは、暗号通貨ウォレットのアドレスや、ブラウザやパスワード・マネージャに保存されている、パスワードなどの権限情報を窃取する機能を備えている。この ViperSoftX は、2020年になって野放し状態での感染が観測されたが、2022年と 2023年に確認された新種には、より洗練された検知回避テクニックと機能が追加されている。

ViperSoftX マルウェアの主な攻撃の流れ Source: Darktrace

もう1つの例は、Black Basta ランサムウェアである。このランサムウェアは、Qbot バンキング・トロイの木馬を拡散させて、機密情報を窃取する。2023年7月〜12月に調査された脅威の中で、最も多く観察された MaaS ツールは以下の通りだ:

  • マルウェア・ローダー (77%)
  • クリプトミニア (52%)
  • ボットネット (39%)
  • 情報窃取マルウェア (36%)
  • プロキシ・ボットネット (15%)
RaaS への更なるシフト

Darktrace のレポートでは、2023年に RaaS (Ransomware-as-a-Service)  攻撃が増加し、従来のランサムウェアからの移行が進んでいると強調されている。

さらに同レポートが指摘するのは、2023年1月に法執行機関が、ランサムウェア・グループ Hive を解体したことで人材が移動し、ランサムウェア市場の拡散が加速したことである。それにより台頭したのは、著名なニュースサイトに偽のウイルス警告を拡散するマルバタイジング行為者 ScamClub や、ここ数カ月で米国のインフラ従業員を標的にした AsyncRAT などである。

Darktrace が予想しているのは、多機能マルウェアの利用価値が高まっていることを背景に、2025年には、より多くのランサムウェア攻撃者が二重/三重の恐喝戦術を採用するだろうというものだ。

さらに同社は、MaaS/RaaS のエコシステムは、2024年も成長を続け、サイバー犯罪者の参入障壁はさらに低くなると予想している。

フィッシング・キャンペーンに AI を利用する攻撃者たち

Darktrace によると、2023年に確認されたのは、ユーザー組織のセキュリティを迂回するために、脅威アクターたちが革新的なアプローチを採用していたことだ。

そのアプローチの1つとして挙げられるのは、受信者を操作して悪意のペイロードをダウンロードさせ、機密情報を提供させることを目的とした、フィッシングなどのメール攻撃である。

たとえば、2023年に Darktrace が 観測したフィッシング・メールの 65%は、DMARC (Domain-based Message Authentication) の検証チェックのバイパスに成功しており、これらのメッセージの 58%は、既存の全てのセキュリティ・レイヤーを突破したという。

研究者たちは、数多くの攻撃者が生成 AI ツールを活用して、より説得力のあるフィッシング・キャンペーンの作成を自動化していると見ている。

Darktrace の Director of Threat Research である Hanah Darley は、 「我々は、2023年に、マルウェアとランサムウェアの脅威の、著しい発展と進化を観測した。また、生成 AI の台頭などの、ハイテク業界全体の技術革新により、攻撃者の戦術とテクニックが変化したことも確認されている。このような背景から、組織が直面する脅威の幅/範囲/複雑さは、著しく拡大している」とコメントしている。

ダークウェブなどのアンダーグラウンドの動きを追跡して、レポートを提供する企業は多数ありますが、その中でも、この Darktrace は、一般にも情報を出してくれるので、とても気に入っています。これまでに、関連記事を何本か訳している記憶があったので、Darktrace で検索したら、3本ほど引っかかりました。今日の記事のソースとなるレポート “End of Year Threat Report” も、よろしければ、ご参照ください。