チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門チェック・ポイント・リサーチ(CPR)は3月25日、2月の最新版Global Threat Indexを発表した。その概要は以下のとおり。
2月、リサーチャーたちはWordPressウェブサイトを危険にさらす最新のFakeUpdatesのキャンペーンを発見。被害に遭ったウェブサイトは、ハッキングされたwp-adminの管理者アカウントを使った攻撃でマルウェアに感染しており、このマルウェアは正規のWordPressプラグインの変更版を利用したり、個人を騙してリモートアクセス型トロイの木馬マルウェアをダウンロードさせたりし、ウェブサイトへの侵入の手口を適応させていた。
FakeUpdates、別名SocGolishは、遅くとも2017年には活動が確認されているマルウェアで、JavaScriptを使用しており、ウェブサイト、特にコンテンツ管理システムを持つウェブサイトを標的としている。ユーザーを騙して悪意あるソフトウェアをダウンロードさせることを目的としており、防御努力にも関わらず、ウェブサイトのセキュリティとユーザーのデータにとって重大な脅威であり続けている。
この高度なマルウェアの亜種は、Evil Corpとして知られるロシアのサイバー犯罪集団と関連付けられてきた。FakeUpdatesはダウンローダーとしての機能を持つことから、このグループは感染したシステムへのアクセスを販売することでこのマルウェアを収益化していると考えられており、グループが複数の顧客にアクセスを提供している場合には他のマルウェアへの感染につながると思われる。
また、チェック・ポイントの脅威インデックスには、二重恐喝型ランサムウェアグループが運営する約200のリークサイトから得られたインサイトも含まれている。これらのランサムウェアグループのうち68集団は、身代金を支払わないターゲットにプレッシャーを与えるため、今年に入って被害者の情報をサイトに掲載している。
一方、2月末に摘発されたLockBit3は、2月のリストでは前月に引き続き最も活発なランサムウェアグループのトップに立っており、公にされているランサムウェア攻撃の20%を占めた。次いでPlayが8%、8baseが7%となっている。
2月、最も悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の51%に影響を及ぼした。2位と3位は「HTTPへのコマンドインジェクション」と「Zyxel ZyWALLへのコマンドインジェクション」で、世界的な影響はそれぞれ50%だった。
関連リンク