search
ja日本語
banner
ホームページ / ブログ / これら 3 つのローダーが今年の侵入の 80% の背後にあった • The Register
ブログ
pageSearch
最新ニュース

これら 3 つのローダーが今年の侵入の 80% の背後にあった • The Register

Aug 04, 2023Aug 04, 2023

QBot、SocGholish、Raspberry Robin の 3 つのマルウェア ローダーが、今年これまでに観察されたコンピュータやネットワークに対する攻撃の 80% の原因となっています。

セキュリティ ショップの ReliaQuest は金曜日、IT 防御によって検出およびブロックされるべき最も悪質なものは、1 月 1 日から 7 月 31 日までに最も多く観察されたローダーである QBot (QakBot、QuackBot、Pink Slipbot とも呼ばれる) であり、侵入の 30% を引き起こしていると報告しました。試みが記録されました。 SocGholish が 27% で 2 位、Raspberry Robin が 23% でした。 ラインナップの他の 7 つのローダーは、3 つのリーダーに大きく遅れをとっています。Gootloader が 3%、Guloader、Chromeloader、Ursnif が 2% です。

名前が示すように、ローダーはマルウェア感染の中間段階です。 ローダーは、たとえば、悪人が何らかの脆弱性を悪用したり、悪意のある添付ファイルを含む電子メールに開封マークを送信したりすることによって、被害者のコンピュータ上で実行されます。 ローダーは実行中、通常、システム内に足場を確保し、永続性を維持するための措置を講じ、実行するメインのマルウェア ペイロード (ランサムウェアやバックドアなどである可能性があります) を取得します。

これにより、侵入後の作業員にある程度の柔軟性が与えられ、マシンに展開される最終的な厄介なソフトウェアを隠すのにも役立ちます。 ローダーを特定して停止できれば、組織内の重大なマルウェア感染を阻止できる可能性があります。

ただし、これらのローダーはセキュリティ チームにとって片頭痛を引き起こす原因となります。ReliaQuest が指摘したように、「たとえ同じマルウェアをロードしたとしても、あるローダーに対する緩和策が別のローダーには機能しない可能性がある」からです。

分析によると、ReliaQuest が「アジャイルなトロイの木馬」と表現する QBot は、16 年前から存在するバンキング トロイの木馬であり、ランサムウェアを配信し、機密データを盗み、組織の環境内で横方向の移動を可能にし、リモート コードを展開するように進化してきました。実行ソフトウェア。

6 月、Lumen の Black Lotus Labs 脅威インテリジェンス グループは、新しいマルウェア配布方法とコマンド アンド コントロール インフラストラクチャを使用するローダーを発見しました。使用されたものの 4 分の 1 は、わずか 1 日だけアクティブでした。 セキュリティ研究者らによると、この進化は、Microsoftが昨年、Officeユーザーに対してインターネットから取得したマクロをデフォルトでブロックする動きに対応した可能性が高いという。

「QakBotの俊敏性は、MicrosoftのMark of the Web(MOTW)に対する運営者の対応からも明らかだ。彼らは配信戦術を変更し、HTML密輸を利用することを選択した」とReliaQuestは述べた。 「他の例では、QakBot オペレーターが軽減策を回避するために、ペイロードのファイル タイプを実験しました。」

これには、米国の組織を対象とした 2023 年 2 月のキャンペーンの場合のように、フィッシングメールに悪意のある OneNote ファイルを使用することが含まれます。

2 番目のローダーである SocGholish は、Windows をターゲットとする JavaScript ベースのコードの塊です。 これは、企業ネットワークに侵入し、そのアクセスを他の犯罪者に販売するロシアの Evil Corp と初期アクセスブローカー Exotic Lily との関連性が指摘されています。

SocGholish は通常、ドライブバイ侵害やソーシャル エンジニアリング キャンペーンを通じて展開され、ダウンロードされると被害者のデバイスに悪意のあるコードをドロップする偽のアップデートを装います。 Google の脅威分析グループによると、Exotic Lily は一時、標的となった約 650 の世界的組織に 1 日あたり 5,000 通以上の電子メールを送信していました。

昨年の秋、TA569 として追跡された犯罪グループは、250 以上の米国の新聞 Web サイトを侵害し、そのアクセスを利用して、悪意のある JavaScript を使用した広告やビデオを介して、SocGholish マルウェアを出版物の読者に配信しました。

最近では、2023 年前半に、ReliaQuest が「積極的な水飲み場攻撃」を実行する SocGholish オペレーターを追跡しました。

「彼らは、利益をもたらす可能性のある一般的な事業運営に携わる大規模組織のウェブサイトを侵害し、感染させた」と脅威研究者らは述べた。 「疑いを持たない訪問者は必然的に SocGholish ペイロードをダウンロードし、広範囲にわたる感染を引き起こしました。」

上位 3 つを締めくくるのは Raspberry Robin です。これも Windows システムをターゲットにしており、USB ドライブを介して拡散するワームから進化したものです。

前: 郡は2024年に新しいプラウトラックとエンドローダーの購入を検討している 次: 郡退役軍人記念碑のための舗装業者のセールを8月31日まで実施
お問い合わせを送信
送信