2024年悪意のあるインフラストラクチャレポート

Executive Summary

2024年、Insikt Groupは、より多くのマルウェアファミリーとカテゴリ、ステージングサーバーなどの追加のインフラストラクチャタイプをカバーし、Recorded Future® Network Intelligenceなどのデータソースを統合することで、悪意のあるインフラストラクチャの追跡を大幅に拡張し、脅威検出、上位インフラストラクチャの洞察、被害者学分析分析を強化しました。Cobalt Strikeが攻撃的セキュリティツール（OST）を席巻し、AsyncRATとQuasarRATがリモートアクセストロイの木馬（RAT）の中でトップを占め、中国と米国がホスティングの主要拠点となり、法執行機関の措置が一時的な影響にとどまることなど、2023年の主要なトレンドの多くが継続する一方で、Insikt Groupは2024年に新たなトレンドがいくつか出現したことを特定しました。

特に、LummaC2が主導するMaaS（Malware-as-a-Service）情報窃取型マルウェアは、競合の情報窃取型マルウェアに対する法執行機関の措置とLummaC2による急速なイノベーションに牽引されて、蔓延しました。さらに、Androidは依然としてモバイルマルウェアの主要な標的であり、Hookがリードしています。法執行機関によるローダーエコシステムの中断措置にもかかわらず、Latrodectusはドロッパーとローダーを支配し続けました。トラフィック分散システム（TDS）は、TAG-124に見られるように、サイバー犯罪の効率を引き続き高め、Cloudflareのようなコンテンツ配信ネットワーク（CDN）の悪用が急増しました。国家支援型グループに関しては、中国はArcSiltなどの中継ネットワークの使用を著しく増加させた一方、ロシアは幅広い正当なインターネットサービス（LIS）の悪用を続けました。

防御側は、本レポートの洞察を活用して、主要なマルウェアおよびインフラストラクチャ技術を優先することでセキュリティ制御を強化し、ネットワーク監視を向上させ、YARA、Sigma、Snortなどの関連する検出を展開する必要があります。これを補完するためには、進化する悪質なインフラストラクチャの動向を追跡し、防御をテストするための脅威シミュレーションを実施し、より広範な脅威の状況を効果的に監視するための投資が必要です。LISに関して、防御側は、評価された重要度とリスクレベルに基づき、高リスクのサービスをブロック、フラグ、または許可することのバランスを取る必要があります。

悪意のあるインフラストラクチャが進化し、検出が向上するにつれて、Insikt Groupは、急激な変化ではなく、継続的な脅威アクターの革新によって、既存の傾向が2025年も続くと予測しています。例えば、「アズ・ア・サービス」エコシステムは拡大する可能性が高く、脅威アクターは検出を回避するために正規のツール、サービス、CDNにますます依存するようになるでしょう。さらに、モバイルへの依存度が高まるにつれて、Insikt Groupはモバイルベースの脅威が増加し続けると予測しています。これまで主に中国の国家支援グループによって使用されていたリレーネットワークは、サイバー犯罪者や他の国家支援グループによってより広く採用される可能性があります。最後に、国際協力の強化と大規模なサイバー犯罪摘発に関する専門知識の蓄積により、法執行措置はより大きな影響を与えると予想されます。

主な調査結果

• 2024年はMaaS情報窃取型マルウェアが感染を主導しました。継続的なイノベーションに加え、RedLine Stealerのようなライバルに対する法執行措置に伴うサイバー犯罪エコシステムの再形成により、LumMac2がコマンドアンドコントロール（C2）サーバーを支配しました。
• AsyncRAT と Quasar RAT は依然として主要なリモートアクセスツール (RAT) であり、DcRAT などの MaaS ベースのマルウェアは引き続き広範に使用されています。
• Recorded Future Network Intelligenceによると、米国（北米）、ブラジル（南米）、アンゴラ（アフリカ）、フランス（ヨーロッパ）、インド（アジア）、オーストラリア（オセアニア）が各地域で最も多くの被害者を記録し、ほとんどの場合、AsyncRATが最も蔓延しているマルウェアとして浮上しています。その他の重大な脅威には、QuasarRATとCobalt Strikeが含まれます。
• Androidはモバイルマルウェアの主要な標的であり続けており、上位10のファミリーのうち9つがこれに焦点を当てています。また、傭兵スパイウェアやストーカーウェアのような望ましくない可能性のあるプログラム（PUP）の増加も見られます。
• Cobalt Strikeは、攻撃的セキュリティツールのコマンド・アンド・コントロール（C2）サーバーの3分の2を占めており、jQueryが最も人気のある不正プロファイルで、cs2modrewriteが最も多くの被害国を標的にしています。Cobalt Strikeに続いてMetasploitが続き、SliverとBrute Ratel C4の検出数が大幅に増加しています。
• Mozi Botnetは、特定されたボットの数に基づいて、2024年に追跡されたボットネットの中で最大でしたが、さらに古いボットネットも依然としてアクティブで、主に分散型サービス拒否（DDoS）攻撃、Fenix Botnetに見られるように認証情報の盗難や局所的な攻撃に使用されていました。
• 2024年、Latrodectusはすべてのドロッパーとローダーを支配し、検出の33％を占めました。これは、おそらくローダーエコシステムにおける法執行機関の混乱によるものです。一方、ほとんどの主要ファミリーは2021年以降に出現し、寿命が短くなっていることを示しています。
• TDSは、Rhysidaのようなランサムウェアグループを含む幅広いユーザーベースにサービスを提供したTAG-124に代表されるように、検出を回避しつつ効率性、ターゲティング、収益性を向上させることで、サイバー犯罪において重要な役割を果たし続けました。
• 米国と中国が悪意のあるホスティングを支配し、Stark Industriesのような防弾ホスティングプロバイダーがサイバー犯罪インフラストラクチャにおいてますます重要な役割を果たしています。
• 2024年、中国政府が支援するグループは匿名化ネットワークの使用を拡大し、世界中のエンティティを標的にすることで、正当なトラフィックに紛れ込み、被害者の特定を困難にしました。一方、RedDeltaはCloudflareを使用してC2トラフィックをプロキシし、悪意のあるファイルをジオフェンスしました。
• ロシアの国家支援グループは、検出を回避するためにNgrok、Cloudflare、Telegramなどの合法的なサービスにますます依存しています。BlueDeltaは削除の取り組み後にNgrokに移行し、BlueAlphaはCloudflareトンネルを使用してGammaDropマルウェアを展開しました。

はじめに

Insikt Groupは、フィッシングキット、スキャナー、中継ネットワークなど、何百ものマルウェアファミリー、脅威アクター、その他のアーティファクトに関連するインフラをプロアクティブに特定し、監視します。Insikt Groupは、独自の方法を用いて毎日悪意のあるインフラストラクチャを自動的に検証し、正確なリスク評価を提供します。これにより、Recorded Futureの顧客は検出および防御能力を強化することができます。

Insikt Groupの2022年および2023年の年次敵対者インフラレポートに基づき、2024年の敵対者インフラレポートは、2024年を通じて観測された悪意のあるインフラのデータに基づく簡潔な概要を提供します。今年は、パッシブインフラストラクチャの検出、Recorded Future Network Intelligenceによる上位インフラストラクチャの洞察、そして被害者の特定の間の相乗効果に特に焦点が当てられています。全体として、このレポートは悪意のあるインフラストラクチャに関心を持つすべての方を対象としており、現在の状況の高次的な概要と主要な調査結果の要約を提供し、意思決定を支援し、この非常にダイナミックな環境における広範な視点を提供します。

機能が重複しているためにマルウェアの種類を相互に排他的に分類することの難しさを認識し、このレポートでは、分析を容易にするために、付録Aに詳述されている一連のマルウェアカテゴリを設定し、それぞれの簡単な定義を提供しています。特に、クリプターなどの特定のマルウェアカテゴリは、通常ネットワークアーティファクトが存在しないため、意図的に除外されています。

Insikt Groupは、マルウェアカテゴリの観点から悪意のあるインフラストラクチャを調査するだけでなく、タイプごとに監視し、Recorded Future Intelligence Cloud内でタイプごとに異なるリスクスコアを割り当てています。この区別は、重大度の異なるレベルを反映しています。たとえば、企業ネットワーク内のC2サーバーへのネットワークトラフィックは、通常、悪意のある活動が活発であることを示すため、管理パネルと比較してリスクが高いと考えられます。Insikt Groupが定義したインフラストラクチャの種類は、付録Bに詳述されています。

数字で見る2024年の悪意のあるインフラストラクチャの洞察

悪意のあるインフラストラクチャの事前特定は、さまざまな要因によって形成される複雑なタスクです。膨大な量のデータに加えて、特定の脅威アクターにリンクされた各マルウェアファミリー、バージョン、またはインフラストラクチャは、多くの場合、完全に独自の設定を採用しています。CloudflareのようなCDNの背後にホスティングされていること、高ポートまたはランダムポートの使用、DiscordやTelegramなどの正当なインターネットサービスへの依存、侵害されたインフラストラクチャの悪用などの要因により、検出はさらに困難になります。

これらのセットアップも絶えず進化しているため、Insikt Groupは常に追跡手法を革新し、洗練する必要があります。これらの要因を考慮し、このレポートはインフォスティーラー、バックドアおよびRAT、モバイルマルウェア、OST、ボットネット、ドロッパーおよびローダー、フィッシングキット、ウェブシェル、ランサムウェアを含む複数のカテゴリーにわたる悪意のあるインフラストラクチャを調査します。

全体として、2024年には、脅威の状況の進化とInsikt Groupによる検出手法の進歩により、特定された悪意のあるインフラストラクチャが大幅に増加しました。例えば、ユニークで検証済みのC2サーバーの数は2023年から2024年にかけて倍増し、ユニークで検証済みの管理パネルは同期間に69%増加しました。

さらに、Insikt Groupは、Recorded Future Network Intelligenceを使用して、被害者のIPアドレスの地理的位置に基づき、2024年に世界約200か国で被害者を特定しました。図1に示されている国々は、検出された一意の被害者の数に基づいて5つのグループに分類され、露出度が高い国々は地理的に世界中に分散しています。特に、国ごとに異なる人口規模、デジタルフットプリント、分析の偏り（追跡対象マルウェアの種類など）、インターネットインフラストラクチャ（プロキシなど）、被害組織の地理的ホスティング選択の違いにより、マルウェアの影響を正確に測定することは困難です。

図 1: Malware impact by country based on Recorded Future Network Intelligence (Source: Recorded Future)

図2は、さまざまな大陸における国別の被害者の分布を示しています。北米では、米国が最も標的となっている国であり、人口の約半分を占めるにすぎないにもかかわらず、同地域の固有の被害者の約87%を占めています。米国での被害者数が多いのは、人口の多さ、広範なデジタルフットプリント、英語の広範な使用（フィッシングキャンペーンで悪用）、経済性などが要因の可能性が高いですが、世界中の組織にホスティングとデジタルサービスを提供するグローバルインフラストラクチャハブとしての役割にも影響されています。被害者の多くはAsyncRATに関連しており、次にSolarMarker RAT、QuasarRATが続きます（表1を参照）。特に、AsyncRATやQuasarRATとは異なり、SolarMarker RATは単一の脅威アクターによって操作されていると考えられており、過去には主に米国を標的としていることが確認されています。

図 2: Shares of unique victim by country and continent (Source: Recorded Future)

南米では、ブラジルが、同大陸の人口の約半分にしか相当しないにもかかわらず、地域全体の一意の被害者数の86%を占めて最多となりました。以前からサイバー攻撃に対して最も脆弱な国の一つと特定されていたブラジルは、長い間、世界的にも国内でもサイバー脅威のホットスポットであり、サイバー犯罪活動においても高い順位を占めており、Grandoreiroなどのグループはほぼブラジル国内でのみ活動しています。2024年、ブラジルの被害者で最も多かったのはQuasarRATの感染で、次いでAsyncRATとSectopRATに関連する感染が続きました。

アフリカでは、アンゴラが一意の被害者数で最も多く、ガーナ、南アフリカ、コンゴ共和国、コンゴ民主共和国が続きました。注目すべきは、標的となったアフリカの5か国のうち2か国で、複数の中国政府支援グループに関連するマルウェアであるPlugXが最も蔓延しているマルウェアの1つにランクされていることです。

欧州では、一意の被害者数はフランスが最も多く、ドイツ、イギリス、オランダ、ポーランドが続きました。AsyncRATは5か国すべてで最も普及しているマルウェアであり、Cobalt Strikeは3か国で2位にランクされました。これらの上位5か国における被害者の分布は、各国の人口規模と密接に一致しています。特に、オランダでは、Go言語で書かれたマルウェアを使用してLinuxルーターを標的とするバックドアであるGobRATがマルウェアファミリーのトップ3にランクインしました。

アジアでは、一意の被害者数はインドが最も多く、次いで中国、インドネシア、タイ、香港が続きました。これらの国の全被害者の約73%は、AsyncRAT、QuasarRAT、Cobalt Strikeの感染に関連していました。特に、Brute Ratel C4は香港で上位3位のマルウェアにランクされ、その重要性の高まりが浮き彫りになっています。

オセアニアでは、オーストラリアが地域の全人口の60%しか占めていないにもかかわらず、一意の被害者人口では87%を占めています。AsyncRATは最も普及しているマルウェアであり、オーストラリアの被害者の半数以上に関連していましたが、ニュージーランドでは67%の被害者がAsyncRAT感染に関連していました。

表1は、Insikt Groupが観測した各大陸の主要5か国における一意の被害者数に基づいた上位3つのマルウェアファミリーの一覧です。

表1: Top three families for the top five countries of each continent (Source: Recorded Future)

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。