サイバー脅威に関するAcronis CPOCの最新情報: 2021年5月24日の週

Cyberthreat update from Acronis CPOCs: Week of May 24, 2021

アクロニスでは常に、お客様のデータに対する危険を監視し、新たに発見された脆弱性への修正プログラムを適用し、お客様が安全でいられるように、警告や推奨事項を発しています。私たちのグローバルネットワークであるAcronis Cyber Protectionオペレーションセンター(CPOC)は、最新のサイバー脅威をプロアクティブに検知し、それらを防ぐために、24時間体制で監視をしています。

この取り組みの一環として、大企業へのランサムウェア攻撃や、ビジネスアプリケーションのセキュリティ上の変更など、デジタル環境における最新の脅威情報を動画でお知らせする活動を行っています。最新のニュース速報と分析の一部を以下でご紹介します。

70行以上の銀行がバンキング型トロイの木馬「Bizarro」の標的に

ブラジルで初めに発見された、バンキング型トロイの木馬「Bizarro」は、現在、南米全域、そしてスペイン、ポルトガル、フランスなどのヨーロッパ諸国に広がっています。このサイバー脅威は現在、世界の70行以上の銀行を標的としています。

Bizarroは、悪意のあるMSIインストーラをフィッシングメールに添付して拡散します。現在はソーシャルエンジニアリングの誘い文句として納税通知メッセージが使われています。このマルウェアは、スクリーンショットの撮影、システムのクリップボードの監視、キーストロークの記録、AzureやAWSのような信頼できるクラウドストレージサーバーからの追加ペイロードのダウンロードなどの機能を持っています。

ユーザーの認証情報を取得する機会を増やすために、Bizarroはブラウザのオートコンプリートを無効にし、被害者にユーザー名やパスワードを手動で入力させます。これにより、Bizarroは、これらの情報を記録し、盗むことができます。Webサイトで2段階認証(2FA)が有効になっている場合、Bizarroは偽のポップアップを使用してこれらのコードを入手します。また、ユーザーのクリップボードに暗号通貨ウォレットのアドレスが検出された場合、Bizarroはそのアドレスをマルウェアの運用者が所有するアドレスに置き換え、被害者が知らず知らずのうちに資金を送金するのを待ちます。

Bizarroのような脅威が存在する以上、システムを安全に保つには包括的なソリューションが必要です。Acronis Cyber Protectは、クラウドファイルのレピュテーションと振る舞い検知を用いてマルウェアをブロックし、データや資金が盗まれる前にマルウェアを阻止します。  Bizarroのような脅威が存在する以上、システムを安全に保つには包括的なソリューションが必要です。Acronis Cyber Protectは、クラウドのファイルレピュテーションと行動検知を用いてマルウェアをブロックし、データや資金が盗まれる前にマルウェアを阻止します。

Zeppelinランサムウェアは、不死鳥のように蘇る

Zeppelin(ツェッペリン)ランサムウェアは、数ヶ月間の活動休止を経て、今回はサービスとしてのランサムウェア(Ransomware-as-a-Service)のプラットフォームにアップデートを提供して復活しました。これらの新バージョンが4月27日にアンダーグラウンドのフォーラムに現れ、コアビルドの価格が2,300ドルとなっていました。

価格ははBuran(ブラン)ランサムウェアの亜種であり、欧米の大規模なハイテク企業や医療機関を狙う際によく利用されています。このランサムウェアは高度な設定ができるように設計されているため、サイバー犯罪者のためのツールとして簡単に選択できるようになっています。

Zeppelinのユーザーは、開発者が決めた特定の攻撃ベクトルに依存せず、独自の攻撃に使用するためにランサムウェアを購入する独立した顧客です。つまり、フィッシングやVPN、RDPの脆弱性を利用するなど、さまざまな手口によって拡散する可能性があるということを意味します。

Acronis Cyber Protectは、攻撃の開始方法にかかわらず、Active Protection機能を備えたZeppelinのようなランサムウェアを停止させ、データが盗まれたり暗号化されたりする前にデータを保護します。

フィッシング詐欺が多すぎる

英国の国立サイバーセキュリティセンター(NCSC)が発表した最新の積極的サイバー防衛(Active Cyber Defence)年次報告書には、フィッシングやその他の詐欺行為をインターネットから排除するための取り組みについてまとめられています。

このレポートによると、昨年だけで、NCSCは70万件以上のオンライン詐欺に関連する140万件以上のURLを削除しました。これらの詐欺には、偽のオンラインショップ、偽の有名人の推薦、英国政府を装ったフィッシングキャンペーンなどが含まれています。

このような努力にもかかわらず、フィッシングは膨大な量になっており、おびき寄せる方法もより、効果的なものになっています。 Acronis Cyber ProtectにはURLフィルタリング機能が組み込まれており、フィッシングキャンペーンなどで使われる悪質なWebサイトからユーザーを保護します。

偽のランサムウェアは実はRAT

Microsoft Security Intelligenceは、ランサムウェアを装った「StrRAT」という名前のリモートアクセストロイの木馬(RAT)に関する情報を公開しました。  Microsoft Security Intelligenceは、ランサムウェアを装った「StrRAT」というリモートアクセス型トロイの木馬(RAT)に関する情報を公開しました。

遠隔地の攻撃者が感染したシステムに追加のペイロードをダウンロードすることを可能にするRATは、ランサムウェアと並んでさまざまな攻撃で広く利用され続けています。最近では、Bloomberg BNAの顧客である180億ドル規模の企業がフィッシングキャンペーンで配信されたRATの標的となりました。

StrRATはブラウザの機密情報を盗み、攻撃者にシステムのコントロールを許可する可能性があります。しかし、ランサムウェアの暗号化モジュールは、身代金目的で暗号化しているように見せかけているものの、実際にはファイル名と拡張子を変更するだけのように思えます。

StrRATは依然として危険な脅威であり、巧妙なフィッシング攻撃により拡散し続ける可能性があります。Acronis Cyber Protectは、StrRATを含むあらゆる種類のRATを検知、阻止します。

1日1台のりんご(Apple)でも、マルウェアを排除配乗することはできない。

最新バージョンのXCSSETマルウェアは、macOS11Big Surのゼロデイ脆弱性を悪用して、内蔵されているプライバシー保護機能を回避しています。macOSはオペレーティングシステムの市場シェアの16%以上を占めており、大多数のMacがこのバージョンを搭載しています。

XCSSETは被害者のシステムのスクリーンショットを保存するだけでなく、オンラインアカウントにアクセスするためにSafariブラウザからクッキーを盗みます。また、Safariの開発版をインストールし、被害者の活動を監視したり、アクセスしたウェブサイトを変更したりできるようにします。

XCSSETは、Appleの新しいM1プロセッサとの互換性を含む傾向が続いており、現在も開発が続けられていることから、注目に値するMac用マルウェアであることは間違いありません。Acronis Cyber ProtectにはmacOSデバイス用のマルウェア対策が含まれており、ユーザーの認証情報やその他の機密データが盗まれる前にXCSSETのような脅威を阻止することができます。

# # #

アクロニスのサイバーセキュリティエキスパートがお届けする新たなサイバー脅威に関する最新情報を確認するには、アクロニスのYouTubeチャンネルに登録してください。CPOCからの最新情報を受け取ることができます。