米国時間2024年10月29日、Netskopeの調査研究部門であるNetskope Threat Labsは、Netskopeプラットフォームで把握できる主な脅威に関する、四半期ごとの脅威概況レポート2024年10月版を発表した。
同レポートは、2024年7月1日〜10月1日の期間を対象とし、現在猛威を振るっている脅威に関する情報をまとめているとのことだ。主要な調査結果は以下のとおり。
クラウドを介したマルウェアの配布
攻撃者は検知回避のため、マルウェアの配布に一般的なクラウドアプリを使用しているという。攻撃者の成功率は、企業内で既に使用されているクラウドアプリを使用した場合に、最も高くなるとのことだ。
Microsoft OneDrive(以下、OneDrive)とGitHubについて、マルウェアの配布に使用された割合は同じだが、そこで見られる動きは異なるという。GitHubは、主にMimikatz、Impacketなどのポストエクスプロイトツールをダウンロードさせるために使用されたとのことだ。一方、OneDriveは、Bumblebee Loaderなど、主にマルウェアのペイロードそのものの配布に使用されたという。
また、同社は、今回4位にランクインしているWebflowにも注目している。同アプリは、マルウェアのダウンロードに加え、同アプリを使用して作成されたフィッシングページの増加が確認されているとのことだ。
活発なマルウェアファミリー
7月1日〜10月1日の間に、同社がブロックしたマルウェアファミリーの上位は以下のとおり。
- AgentTesla:.NETベースのリモートアクセス型トロイの木馬。ブラウザパスワードの窃取、キーストロークやクリップボードの取得などの機能を備えている
- NjRAT(別名、Bladabindi):リモートアクセス型トロイの木馬。キーロギング、ブラウザ認証情報の窃取、被害者のカメラへのアクセス、ファイル操作などの機能を備えている
- Remcos:リモートアクセス型のトロイの木馬。デバイスの遠隔制御に利用できる機能を備えている
こうした傾向を踏まえ、同社は以下のような対策を推奨しているという。
- マルウェアによるネットワークへの侵入を防ぐため、ウェブとクラウドのトラフィックをはじめとする、すべてのHTTPおよびHTTPSダウンロードの検査を行う
- セキュリティコントロールで、ZIPファイルなどの一般的なアーカイブファイルのリカーシブインスペクション行い、悪意あるコンテンツがないことを確認する
- 実行可能ファイルやアーカイブなどの、高リスクのファイルタイプについて、ダウンロード前に静的分析と動的分析の両方で検査を行う
- 組織内で使用されていないアプリからのダウンロードをブロックするポリシーを設定。リスク対象領域を、業務に必要なアプリやインスタンスだけに限定する
- 組織で使用されていない、既知のポストエクスプロイトツールのダウンロードをブロックする。承認されていないツールがダウンロードされた場合には、攻撃が既に進行した段階の可能性があるため、ハイリスクとして警報を発するポリシーの設定が有効
- 新しく登録・確認されたドメインからの、危険性が高いファイルタイプのダウンロードは、すべてブロックする
【関連記事】
・Netskope、大阪市内に新たなデータセンターを開設 日本では4拠点目、事業体制を強化へ
・Netskope Oneプラットフォームの新たなイノベーションが発表 AI活用したソリューションなど追加
・製造業界におけるクラウドアプリの脅威と攻撃者の手法、推奨セキュリティ対策は?【Netskope調査】
