Netskopeは11月27日、同社の調査研究部門でありクラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsが、Netskopeプラットフォームで把握できる主な脅威に関する四半期ごとの脅威概況レポート2024年10月版を公開したことを発表した。その概要は以下のとおり。
●クラウドを介したマルウェアの配布
攻撃者は、検知回避の目的のため、マルウェアの配布に一般的なクラウドアプリを使用している。マルウェアの配布にクラウドアプリを利用することで、セキュリティコントロールが主にドメインブロックリストとURLフィルタリングに依拠している場合、またはクラウドトラフィックに対する検査を実施しない場合に、回避が可能になるため。
攻撃者の成功率は、企業内ですでに一般的に使用されているクラウドアプリを使用した場合に最も高くなる。Microsoft OneDriveとGitHubは、使用された割合においては同じだが、そこで見られる動きは異なる。GitHubはほとんどの場合にMimikatz、Impacketなどのポストエクスプロイトツールをダウンロードさせるために使用される。一方OneDriveは、Bumblebee Loaderなど主にマルウェアのペイロードそのものの配布に使用された。
4位となったWebflowは、マルウェアのダウンロードに加え、このアプリを使用して作成されたフィッシングページの増加が最近確認されていることから注目される。
●活発なマルウェアファミリー
以下は、7月1日から10月1日の間にNetskopeがブロックしたマルウェアファミリーの上位。
AgentTesla(インフォスティーラー):.NETベースのリモートアクセス型トロイの木馬で、ブラウザパスワードの窃取、キーストロークやクリップボードの取得など、数多くの機能を備える。
NjRAT(RAT)(別名Bladabindi):リモートアクセス型トロイの木馬で、キーロギング、ブラウザー認証情報の窃取、被害者のカメラへのアクセス、ファイル操作など、数多くの機能を備える。
Remcos(RAT):リモートアクセス型のトロイの木馬で、デバイスの遠隔制御に利用できる広範な機能を備え、多くの攻撃者が利用している。
関連リンク