情報窃取型マルウェア「AZORult」の二度目の死

プロダクト・マネージャー ラビード・レイブ   脅威インテリジェンスアナリスト レオン・キュロラプニック

2020年2月中旬以降、さまざまなサイバー犯罪コミュニティで、情報窃取型マルウェア「AZORult」のパスワード窃取機能が2月4日にリリースされたGoogle Chromeのアップデートによって無効化されたことが話題になっています。「AZORult」は現行の情報窃取型マルウェアの中で広く利用されているものの1つで、現在進行中(当時)のキャンペーンの元凶でもあります。「AZORult」の保守は終了しており、多くの脅威アクターはこのマルウェアが完全に引退したと考えています。ただし、これまでもそうだったように変化に対応した既知および未知のマルウェアが出現しています。

サイバー犯罪マーケット「Genesis」のサプライチェーン

リサーチ:Part 1 – GUID の謎を解く プロダクトマネージャー ラビード・レイブ

本ブログ記事はサイバー犯罪マーケット「Genesis」のサプライチェーンについて解説するシリーズの第一弾です。コンピューターウイルス(マルウェア)に感染させた端末から窃取したログイン情報を販売するオンラインストア「Genesis」は、ロシアの脅威アクターと思われる管理者によって 2018 年から運営されており、革新的なモデルによって成功を収めています。今回の調査では、ある簡単な方法を用いて「Genesis」に掲載されている 33 万 5 千台以上の感染端末(ボット)を 4 つのグループに分類しました。この分類により、掲載されているボットのうち 30 万台以上が情報窃取型マルウェア「AZORult」に感染した端末であり、「Genesis」の脅威アクターは毎月数万台単位で「AZORult」への感染を拡大している活動に関与していることが判明しました。ただし、「Genesis」は必ずしもそのような活動を主導しているわけではなく、むしろさまざまなマルウェア・アズ・ア・サービス(MaaS)プロバイダーおよびサイバー犯罪サービスと協力関係を結んでいるようです。

「Genesis」を広く知られたコモディティマルウェアと結びつけるこの発見は、ボットによって不正に取得したデータの急増とそれらが現在進行形で法人組織に脅威をもたらしていることを明らかにするものです。また、サイバー犯罪のエコシステムで活動している脅威アクター間のサプライチェーン関係にも光を当てます。次回以降のブログ記事では特定の脅威アクターやトレンドを取り上げながらこのテーマについて探求します。