チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチは、2023年12月の最新版Global Threat Index(世界脅威インデックス)を発表した。
2023年12月、Qbotの復活が確認された。米国および国際法執行機関が「ダックハント作戦(Operation Duck Hunt)」によって同年8月にQbotのインフラを破壊後、4ヵ月での復活となったという。一方、グローバルのランキング首位にはJavaScriptダウンローダーのFakeUpdatesが急浮上し、世界で最も攻撃を受けた業種・業界のランキングは引き続き「教育・研究」分野が首位となった。
Qbotの復活
2023年12月、Qbotは、ホスピタリティ業界の組織を標的とした小規模なサイバー攻撃の一部として使用された。このキャンペーンではハッカーがIRSになりすまし、MicrosoftインストーラーにリンクするURLが埋め込まれたPDFの添付ファイルを含む悪意ある電子メールを送信したことが確認されたとのこと。このインストーラーの作動がトリガーとなり、埋め込まれたダイナミックリンクライブラリ(DLL)を利用して目に見えないQbotが起動したという。
2023年8月の撲滅作戦以前には、Qbotは脅威インデックスの上位を独占し、10ヵ月連続して最も流行しているマルウェアのランキング上位3位以内に入っていた。現時点では10位以内には戻っていないものの、以前のような悪名を取り戻すかどうかは今後数ヵ月間の動向によって明らかになると同社はみている。
一方、2023年末に復活したFakeUpdatesはその後も順位を上げ、12月には世界中の組織の2%に影響を与えて首位となった。Nanocoreも6ヵ月連続で上位5位圏内を維持し、12月には3位となっている。また、新たにRamnitとGluptebaが上位10種の中に登場したという。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)氏は次のように述べている。
「Qbotの拡散用インフラの解体から4ヵ月足らずの間に再びQbotの活動を目の当たりにしたことは、私たちにマルウェアキャンペーンの妨害が可能な一方で、その背後にいる脅威アクターは新たなテクノロジーに適応していくという事実を想起させるものです。組織がエンドポイントセキュリティ事前防止的アプローチを採用し、電子メールの発信元とその意図についてデューデリジェンス(適正評価手続き)を実施することが推奨されます」
【関連記事】
・チェック・ポイント、最新のフィッシングメール事例を確認 悪意あるファイルの99%がEメール経由
・チェック・ポイント、2024年のサイバーセキュリティに関する予測を発表
・チェック・ポイント、9月に最も活発だったマルウェア発表──世界脅威インデックス最新版
