このレポート期間中に、BlackBerryのCylance® Endpoint Solutionsは150万を超える攻撃を阻止しました。平均して、脅威アクターは1分あたり約11.5件の攻撃を展開し、その中には1 分あたり約1.7 件の新規マルウェアサンプルが含まれていました。これは、前報告期間の1分あたりの新規サンプルの平均1.5件に比べ、新規サンプル数が13%増加したことを表しており、攻撃者が防御制御を回避するためにツールを多様化していることを示しています。この四半期には、既知の脅威アクターAPT28 と、北朝鮮国家支援のサイバー脅威グループであると考えられている Lazarus Group が活動しており、AdFind、Extreme RAT、正規ツールの Mimikatz(オープンソースの侵入テスト フレームワーク)および Cobalt Strike(商用の敵対的エミュレーション ソリューション)などのツールが観察されました。
この報告期間では、次の業界とセクターが頻繁に標的にされました。
• 政府および公共サービス: BlackBerry®サイバーセキュリティソリューションは、この報告期間中に、政府および公共サービス部門に対する55,000件を超える個別の攻撃を阻止しました。これは、前期間から40%近く増加しました。政府機関に対する攻撃は、オーストラリア、韓国、日本が重点的に標的となっていた北米とアジア太平洋(APAC)地域で阻止されました。完全な脅威レポートでは、最も一般的に見られるマルウェア、政府による攻撃の潜在的な動機、この分野の世界的な脅威状況のレビューについて説明しています。
• ヘルスケア:ランサムウェアギャングは引き続き、機密の個人データと重要なサービスが利益をもたらす医療機関を標的にしています。このレポート期間中、BlackBerryは13,433件の固有のマルウェアバイナリを検出して阻止し、医療分野全体で109,922件を超える個別の攻撃を阻止しました。世界の医療環境における注目すべき攻撃には、スペインとインドの病院、製薬メーカーおよびサプライヤーでの混乱が含まれていました。北朝鮮を拠点とするハッカーによる韓国の病院への侵入も明らかになりました。
• 金融:金融機関は、その経済的重要性と豊富な機密データにより、継続的な脅威に直面しています。この報告期間中、BlackBerryのサイバーセキュリティテクノロジーとサービスは、金融機関を標的とした17,000件を超える攻撃を阻止しました。最も標的となったのは米国で、次に南米とアジアの国々が続きました。この時期のAndroidベースの脅威には、正規のバンキングアプリを装ったトロイの木馬や、世界中の何百もの銀行から認証情報を盗んだ既存のマルウェアの新しい亜種が含まれます。
• 重要なインフラストラクチャ: Cylance Endpoint Securityソリューションは、この報告期間中に重要なインフラストラクチャに対する25,000件を超える攻撃を阻止しました。その攻撃のほとんどは、米国、インド、日本、エクアドルの顧客を標的としていました。実際、西側拠点の重要インフラに対する脅威の数が非常に多かったため、英国国家サイバーセキュリティセンターは、ロシアのウクライナ侵略に同情的な国家連携の脅威主体によるインフラを標的とした活動の増加を理由に、認識と警戒の強化を求める警報を発令しました。
このレポート期間中、攻撃を受けた業界は前回のレポートよりも多様なグループでした。以下の図は、上位3つの業界におけるサイバー攻撃の分布を示しています。また、攻撃の停止数と一意のハッシュの停止数で業界が1から3にどのようにランク付けされるかには、逆の関係があることも示しています。
あらゆる分野で地政学的に動機付けられた攻撃が増加すると予測されています。エスカレートする攻撃に直面して、政府はインシデントの調査、対応、復旧を支援するために協力を強化しています。この報告書は、国家主導の脅威と非国家主導の地政学的脅威の両方に対する世界的な対応について論じています。
このレポートでは、主要なオペレーティングシステムで最も頻繁に確認されるマルウェアについて説明します。Microsoft®Windows®を標的とするマルウェアには、ドロッパーとダウンローダー ( Emotet、 PrivateLoader、および SmokeLoader)、情報スティーラー (RedLine、RaccoonStealer、Vidar、および IcedID)、Agent Tesla RAT、および BlackCat/ALPHVグループのランサムウェアが含まれます。
Android™デバイスの場合、最も一般的なマルウェアには SpyNote が含まれます。SpyNote は、位置情報の監視、デバイスのカメラへのアクセス、SMS テキスト メッセージの傍受 (攻撃者が 2 要素認証をバイパスするのに役立ちます)、通話を録音するだけでなく、ログオン資格情報やクレジット カード データなどの貴重な情報を抽出することができます。
Linux®は主にエンタープライズ システムに導入されるため、最も一般的な感染経路は、セキュアシェル (SSH)アクセスを取得するための総当たりパスワードを介したもの、または公開サービスの脆弱性の悪用によるものです。このレポート期間中のLinuxの脅威には、分散型サービス拒否 (DDoS) 攻撃、システムリソースを乗っ取って暗号通貨をマイニングするクリプトマイナー、およびランサムウェアが含まれていました。
一般的なmacOSマルウェアはアドウェアを表示したり、ウェブブラウザーの検索をハイジャックしたりしますが、昨期はクロスプラットフォーム プログラミング言語を使用してmacOS自体を標的とするマルウェアを開発する攻撃者が増えていました。この時期の脅威には、クロスプラットフォームプログラミング言語GoLang (別名Go) をベースにした新種の情報窃取ツールである Atomic macOS (AMOS)が含まれていました。アドウェアやブラウザのハイジャック攻撃も観察されました。
報告期間中の注目すべきサイバーセキュリティイベントには、ロシアのサイバースパイ活動能力に対する重大な打撃が含まれます。5月初旬、米国司法省は、公にはロシア諜報機関によるものとされている、脅威アクター「トゥルラ」が使用していたインフラを解体したと発表しました。その他の注目すべきイベントには次のようなものがあります。
• 3月初旬、BlackBerryの研究者は、ロシアの対外諜報機関と公的に関係しているロシア国家支援の脅威アクターNOBELIUM (APT29)によるヨーロッパの組織を標的としたキャンペーンを観察しました。
• 3 月末、ビジネスコミュニケーションサプライヤー3CXは、通話、ビデオ、ライブ チャットに広く使用されている音声およびビデオ会議製品であるVOIPソフトウェア3CXDesktopAppのトロイの木馬化バージョンが世界中に配布されたセキュリティ侵害を発表しました。
• 4月には、Google広告を使用して被害者をだまして人気ソフトウェアのトロイの木馬化した偽バージョンをダウンロードさせるマルバタイジング キャンペーンと、スペイン国税庁に対する大規模なスピアフィッシングキャンペーンが観察されました。
• 5月初旬、BlackBerry脅威調査およびインテリジェンスチームは、インドで発生したと考えられているSideWinder グループによるパキスタン政府の標的に焦点を当てたキャンペーンを明らかにする調査結果を発表しました。
• 5月下旬、新たな攻撃者Rhysidaによるチリ軍に対するランサムウェア攻撃が明らかになりました