Cyber Crooks Store 10 Malware Families on US Web Servers

今年4月、利用可能な脅威データのレビュー中に、サイバーセキュリティ企業は、10の米国のWebサーバーで多数のマルウェアファミリがホストされていることに気付きました。これらの脅威を所有した攻撃者は、サーバーを使用して、ソーシャルエンジニアリング技術を悪用したフィッシング攻撃を開始し、悪意のあるMicrosoft Word文書を通じてマルウェアをコンピューターに感染させました。破損した電子メールの添付ファイルには、ターゲットマシンに危険なペイロードをロードする悪意のあるVisual Basicアプリケーション（VBA）マクロが含まれていました。

問題の脅威ファミリーは、5つのバンキングマルウェアファミリー（ Gootkit 、 Nymaim 、 IcedID 、 Trickbot 、およびDridex）で構成されていました 。データスティーラーの3つのグループ- ニュートリノ 、 ファライト 、およびAZORult 。そして2つのランサムウェアの株- エルメスとGandCrab 。多くの場合、あるマルウェアファミリは別のマルウェアファミリのドロッパーとして機能していました。

以前の調査から、2016年以降、Dridexの背後にあるサイバー詐欺師は、マルウェアの配布にNecursボットネットを使用している一方で、Dridexキャンペーンと他のマルウェアの脅威のいくつかをプッシュするキャンペーンも観察されました。これらの事実を踏まえて、研究者たちは、Necursの背後にいるサイバーギャングがマルウェア配布のネットワークの一部としてWebサーバーを使用しているという仮説を立てました。この仮説は、Necursボットネットのオペレーターが長年にわたって導入した特定の変更に関連しても現れます。たとえば、2018年6月、Necursが突然XMRig暗号マイナーを配信できるようになり、電子メールアドレスを抽出する可能性がある悪意のあるプッシュプッシュスクリプトがボットネットに追加されました。数か月後、研究者たちは、NecursがPUBファイルを使用して、欠陥のあるAmmyyリモートアクセストロイの木馬を配布していることを発見しました。

一方、Dridexのオペレーターに関する新しいデータも登場しました。どうやら、同じ攻撃者は2018年1月にFriedExという名前のランサムウェアを作成しました。その後1年後、研究者はDridex、BitPaymer、Emotet、Ursnifがすべて同様のローダーに関連していることを発見しました。

フィッシングメールの認識方法に関する従業員向けの定期的な教育イベントは、組織がスパムキャンペーンを通じて配布されたマルウェアの脅威からシステムを保護するのに役立ちます。別の保護手段は、悪意のあるペイロードを含む可能性のある添付されたMicrosoft Officeドキュメントに含まれるマクロコードを抽出および分析できるVBAエディターなどのレバレッジツールです。