Emotetボットネットの復活に注意

UnsplashのPhilipp Katzenbergerによる写真

編集者の概要:Emotetボットネットが過去の時代であると私たちが考えたとき、それはすぐに跳ね返ったようです。 これは、悪意のある人が常に私たちのネットワークとシステムに大混乱をもたらすために、何度も何度も何度も試みようとしているというサイバーセキュリティの実践者への公正な警告です。 ベンダーのニュースリリースは以下のとおりです。

2020年XNUMX月に最も望まれたマルウェア:EmotetがXNUMXか月の不在後に再び攻撃

Check Point Researchは、銀行口座の認証情報を盗み、ターゲットネットワーク内に拡散することを目的とした、非活動期間後のEmotetボットネット拡散スパムキャンペーンの急激な増加を発見しました

シンガポール、@ mcgallen#microwire情報、11年2020月XNUMX日 – Check Point Research、脅威インテリジェンス部門 CheckPoint®Software Technologies Ltd. (NASDAQ:CHKP)は、サイバーセキュリティソリューションの世界的な大手プロバイダーであり、2020年1月の最新のグローバル脅威インデックスを公開しました。研究者は、5か月の不在の後、EmotetがインデックスのXNUMX位に急上昇し、XNUMX%に影響を与えていることを発見しました。グローバルな組織の。

2020年2019月以降、Emotetの活動(主にマルスパムキャンペーンの波を送信)は鈍化し始め、XNUMX月に再び出現するまで最終的には停止しました。 このパターンは、Emotetボットネットが夏季に活動を停止したが、XNUMX月に再開したXNUMX年に観察されました。

XNUMX月、Emotetはマルスパムキャンペーンを広め、被害者にTrickBotとQbotを感染させました。これらは、銀行の資格情報を盗んだり、ネットワーク内に広まったりするために使用されています。 一部のマルスパムキャンペーンには、「form.doc」や「invoice.doc」などの名前の悪意のあるdocファイルが含まれていました。 研究者によると、悪意のあるドキュメントはPowerShellを起動して、リモートのWebサイトからEmotetバイナリをプルし、マシンに感染してボットネットに追加します。 Emotetの活動の再開は、ボットネットの規模と能力を世界的に強調しています。

「Emotetが今年の初めの数か月間休止していて、2019年に最初に観察したパターンを繰り返しているのは興味深いことです。ボットネットの背後にいる開発者が、その機能を更新していたと推測できます。 しかし、再び活動しているため、組織は、これらの脅威をもたらすマルスパムの種類を特定する方法について従業員を教育し、電子メールの添付ファイルを開いたり、外部ソースからのリンクをクリックしたりするリスクについて警告する必要があります。 企業は、そのようなコンテンツがエンドユーザーに到達するのを防ぐことができるマルウェア対策ソリューションの展開も検討する必要があります」と、チェック・ポイントの製品の脅威インテリジェンス&リサーチ担当ディレクター、マヤ・ホロウィッツは述べています。

調査チームはまた、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界中の44%の組織に影響を及ぼし、続いて「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を与えると警告しています。 「HTTPペイロードを介したコマンドインジェクション」は38位で、世界的な影響はXNUMX%です。

上位のマルウェアファミリ

*矢印は、前月と比較したランクの変化に関連しています。

今月、Emotetは最も人気のあるマルウェアであり、組織の5%が世界的に影響を及ぼしています。続いて、DridexとAgent Teslaがそれぞれ4%の組織に影響を及ぼしています。

  1. ↑Emotet – Emotetは、高度な自己増殖型のモジュラー型トロイの木馬です。 Emotetは元々はバンキング型トロイの木馬でしたが、最近では他のマルウェアや悪意のあるキャンペーンの配布元として使用されています。 検出を回避するために、永続性と回避技術を維持するために複数の方法を使用します。 さらに、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散する可能性があります。
  2. ↑Dridex – Dridexは、Windowsプラットフォームを標的とするトロイの木馬で、スパムメールの添付ファイルを介してダウンロードされると報告されています。 Dridexはリモートサーバーに接続し、感染したシステムに関する情報を送信します。 また、リモートサーバーから受信した任意のモジュールをダウンロードして実行することもできます。
  3. ↓エージェントテスラ –エージェントテスラは、被害者のキーボード入力、システムクリップボードを監視および収集し、スクリーンショットを取り、被害者のマシンにインストールされているさまざまなソフトウェア(Google Chromeを含む) Mozilla FirefoxおよびMicrosoft Outlook電子メールクライアント)。

よく利用される脆弱性

今月の「MVPower DVRリモートコード実行」は、世界で44%の組織に影響を与える最も一般的に悪用されている脆弱性であり、次に「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を及ぼしています。 「HTTPペイロードを介したコマンドインジェクション」は38位で、世界的な影響はXNUMX%です。

  1. ↑MVPower DVRリモートコード実行 – MVPower DVRデバイスに存在するリモートでコードが実行される脆弱性。 リモートの攻撃者は、この脆弱性を悪用して、巧妙に細工されたリクエストを介して、影響を受けるルーターで任意のコードを実行できます。
  2. ↓OpenSSL TLS DTLSハートビート情報開示(CVE-2014-0160; CVE-2014-0346) – OpenSSLに存在する情報漏えいの脆弱性。 この脆弱性は、TLS / DTLSハートビートパケットを処理する際のエラーが原因です。 攻撃者はこの脆弱性を利用して、接続されているクライアントまたはサーバーのメモリの内容を開示できます。
  3. ↑HTTPペイロードを介したコマンドインジェクション – HTTPペイロードを介したコマンドインジェクションの脆弱性が報告されています。 リモートの攻撃者は、特別に細工したリクエストを被害者に送信することにより、この問題を悪用できます。 悪用に成功すると、攻撃者はターゲットマシン上で任意のコードを実行する可能性があります。

トップモバイルマルウェアファミリー

今月はxHelperが最も人気のあるマルウェアで、NecroとPreAMoがそれに続きます。

  1. xHelper –他の悪意のあるアプリをダウンロードして広告を表示するために使用される、2019年XNUMX月以降に流行した悪意のあるアプリケーション。 アプリケーションはユーザーから身を隠すことができ、アンインストールされた場合に備えて再インストールされます。
  2. ネクロ – NecroはAndroid Trojan Dropperです。 他のマルウェアをダウンロードして、煩わしい広告を表示したり、有料のサブスクリプションを請求することでお金を盗んだりできます。
  3. プレアモ – PreAmoはAndroidマルウェアで、Presage、Admob、MopubのXNUMXつの広告代理店から取得したバナーをクリックしてユーザーを模倣します。

チェック・ポイントのグローバル脅威インパクト・インデックスとそのThreatCloudマップは、脅威センサーのグローバル・ネットワークから脅威データと攻撃トレンドを配信するサイバー犯罪と戦うための最大の協調ネットワークであるチェック・ポイントのThreatCloudインテリジェンスを利用しています。 ThreatCloudデータベースは、毎日2.5億を超えるWebサイトと500億のファイルを検査し、毎日250億XNUMX千万を超えるマルウェアアクティビティを特定しています。

10月のマルウェアファミリのトップXNUMXの完全なリストは、 Check Pointブログ.

チェック・ポイントの脅威防止リソースは、  http://www.checkpoint.com/threat-prevention-resources/index.html

チェック・ポイント・リサーチについて
チェック・ポイント・リサーチは、主要なサイバー脅威インテリジェンスをチェック・ポイント・ソフトウェアの顧客およびより優れたインテリジェンスコミュニティに提供します。 リサーチチームは、ThreatCloudに保存されているグローバルなサイバー攻撃データを収集して分析し、ハッカーを寄せ付けないようにすると同時に、すべてのチェックポイント製品を最新の保護機能で更新します。 研究チームは、他のセキュリティベンダー、法執行機関、さまざまなCERTと協力する100人を超えるアナリストと研究者で構成されています。

Check Point Researchをフォローする:

Check Point Software Technologies Ltd.について
Check Point Software Technologies Ltd.(www.checkpoint.com)は、世界中の政府および企業にサイバーセキュリティソリューションを提供する大手プロバイダーです。 チェック・ポイントのソリューションは、マルウェア、ランサムウェア、および高度な標的型脅威の業界トップのキャッチ率で、第5世代のサイバー攻撃から顧客を保護します。 チェック・ポイントは、マルチレベルのセキュリティアーキテクチャである「GenVの高度な脅威防止を備えたInfinity Total Protection」を提供します。この複合製品アーキテクチャは、企業のクラウド、ネットワーク、およびモバイルデバイスを防御します。 チェック・ポイントは、最も包括的で直感的なワンポイントの制御セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の100,000を超える組織を保護します。

###