2024年悪意のあるインフラストラクチャレポート

Executive Summary

2024年、Insikt Groupは、より多くのマルウェアファミリーとカテゴリ、ステージングサーバーなどの追加のインフラストラクチャタイプをカバーし、Recorded Future® Network Intelligenceなどのデータソースを統合することで、悪意のあるインフラストラクチャの追跡を大幅に拡張し、脅威検出、上位インフラストラクチャの洞察、被害者学分析分析を強化しました。Cobalt Strikeが攻撃的セキュリティツール（OST）を席巻し、AsyncRATとQuasarRATがリモートアクセストロイの木馬（RAT）の中でトップを占め、中国と米国がホスティングの主要拠点となり、法執行機関の措置が一時的な影響にとどまることなど、2023年の主要なトレンドの多くが継続する一方で、Insikt Groupは2024年に新たなトレンドがいくつか出現したことを特定しました。

特に、LumMac2を中心とするサービスとしてのマルウェア（MaaS）インフォスティーラーが蔓延しました。これはおそらく、競合他社のインフォスティーラーに対する法執行措置と、Lummac2による急速な革新によるものです。さらに、Androidは依然としてモバイルマルウェアの主な標的であり、Hookがリードしています。法執行機関によるローダーエコシステムの混乱にもかかわらず、Latrodectusがドロッパーとローダーを支配していましたが、TAG-124に見られるように、トラフィック分散システム（TDS）は引き続きサイバー犯罪の効率を高め、Cloudflareのようなコンテンツ配信ネットワーク（CDN）の悪用が急増しました。国が後援する団体に関しては、中国はArcSiltなどの中継ネットワークの使用を著しく増やしましたが、ロシアは合法的なインターネットサービス（LIS）を幅広く悪用し続けました。

防御側は、本レポートの洞察を活用して、主要なマルウェアおよびインフラストラクチャ技術を優先することでセキュリティ制御を強化し、ネットワーク監視を向上させ、YARA、Sigma、Snortなどの関連する検出を展開する必要があります。これを補完するためには、進化する悪質なインフラストラクチャの動向を追跡し、防御をテストするための脅威シミュレーションを実施し、より広範な脅威の状況を効果的に監視するための投資が必要です。LISに関して、防御側は、評価された重要度とリスクレベルに基づき、高リスクのサービスをブロック、フラグ、または許可することのバランスを取る必要があります。

悪意のあるインフラストラクチャが進化し、検出が向上するにつれて、Insikt Groupは、急激な変化ではなく、継続的な脅威アクターの革新によって、既存の傾向が2025年も続くと予測しています。例えば、「アズ・ア・サービス」エコシステムは拡大する可能性が高く、脅威アクターは検出を回避するために正規のツール、サービス、CDNにますます依存するようになるでしょう。さらに、モバイルへの依存度が高まるにつれて、Insikt Groupはモバイルベースの脅威が増加し続けると予測しています。これまで主に中国の国家支援グループによって使用されていたリレーネットワークは、サイバー犯罪者や他の国家支援グループによってより広く採用される可能性があります。最後に、国際協力の強化と大規模なサイバー犯罪摘発に関する専門知識の蓄積により、法執行措置はより大きな影響を与えると予想されます。

主な調査結果

2024年はMaaS情報窃取型マルウェアが感染を主導しました。継続的なイノベーションに加え、RedLine Stealerのようなライバルに対する法執行措置に伴うサイバー犯罪エコシステムの再形成により、LumMac2がコマンドアンドコントロール（C2）サーバーを支配しました。
AsyncRAT と Quasar RAT は依然として主要なリモートアクセスツール (RAT) であり、DcRAT などの MaaS ベースのマルウェアは引き続き広範に使用されています。
Recorded Future Network Intelligenceによると、米国（北米）、ブラジル（南米）、アンゴラ（アフリカ）、フランス（ヨーロッパ）、インド（アジア）、オーストラリア（オセアニア）が各地域で最も多くの被害者を記録し、ほとんどの場合、AsyncRATが最も蔓延しているマルウェアとして浮上しています。その他の重大な脅威には、QuasarRATとCobalt Strikeが含まれます。
Androidはモバイルマルウェアの主要な標的であり続けており、上位10のファミリーのうち9つがこれに焦点を当てています。また、傭兵スパイウェアやストーカーウェアのような望ましくない可能性のあるプログラム（PUP）の増加も見られます。
Cobalt Strikeは、攻撃的セキュリティツールのコマンド・アンド・コントロール（C2）サーバーの3分の2を占めており、jQueryが最も人気のある不正プロファイルで、cs2modrewriteが最も多くの被害国を標的にしています。Cobalt Strikeに続いてMetasploitが続き、SliverとBrute Ratel C4の検出数が大幅に増加しています。
Mozi Botnetは、特定されたボットの数に基づいて、2024年に追跡されたボットネットの中で最大でしたが、さらに古いボットネットも依然としてアクティブで、主に分散型サービス拒否（DDoS）攻撃、Fenix Botnetに見られるように認証情報の盗難や局所的な攻撃に使用されていました。
2024年、Latrodectusはすべてのドロッパーとローダーを支配し、検出の33％を占めました。これは、おそらくローダーエコシステムにおける法執行機関の混乱によるものです。一方、ほとんどの主要ファミリーは2021年以降に出現し、寿命が短くなっていることを示しています。
TDSは、Rhysidaのようなランサムウェアグループを含む幅広いユーザーベースにサービスを提供したTAG-124に代表されるように、検出を回避しつつ効率性、ターゲティング、収益性を向上させることで、サイバー犯罪において重要な役割を果たし続けました。
米国と中国が悪意のあるホスティングを支配し、Stark Industriesのような防弾ホスティングプロバイダーがサイバー犯罪インフラストラクチャにおいてますます重要な役割を果たしています。
2024年、中国政府が支援するグループは匿名化ネットワークの使用を拡大し、世界中のエンティティを標的にすることで、正当なトラフィックに紛れ込み、被害者の特定を困難にしました。一方、RedDeltaはCloudflareを使用してC2トラフィックをプロキシし、悪意のあるファイルをジオフェンスしました。
ロシアの国家支援グループは、検出を回避するためにNgrok、Cloudflare、Telegramなどの合法的なサービスにますます依存しています。BlueDeltaは削除の取り組み後にNgrokに移行し、BlueAlphaはCloudflareトンネルを使用してGammaDropマルウェアを展開しました。

はじめに

Insikt Groupは、フィッシングキット、スキャナー、中継ネットワークなど、何百ものマルウェアファミリー、脅威アクター、その他のアーティファクトに関連するインフラをプロアクティブに特定し、監視します。Insikt Groupは、独自の方法を用いて毎日悪意のあるインフラストラクチャを自動的に検証し、正確なリスク評価を提供します。これにより、Recorded Futureの顧客は検出および防御能力を強化することができます。

2022 年と 2023 年の Insikt Groupの年次攻撃者、犯罪組織インフラストラクチャレポートに基づいて、2024 年を通じて観察された悪意のあるインフラストラクチャの簡潔でデータに基づいた概要を提供します。今年は、パッシブインフラストラクチャ間の相乗効果を特に強調しています検知、 Recorded Future Network Intelligenceを活用した上位レベルのインフラストラクチャの洞察、および被害者の特定。全体として、このレポートは悪意のあるインフラストラクチャに関心のあるすべての人を対象としており、その現状の概要と主要な調査結果の概要を提供し、この非常に動的な環境における意思決定に情報を提供し、幅広い視点を提供します。

機能が重複しているためにマルウェアの種類を相互に排他的に分類することの難しさを認識し、このレポートでは、分析を容易にするために、付録Aに詳述されている一連のマルウェアカテゴリを設定し、それぞれの簡単な定義を提供しています。特に、クリプターなどの特定のマルウェアカテゴリは、通常ネットワークアーティファクトが存在しないため、意図的に除外されています。

Insikt Groupは、マルウェアカテゴリの観点から悪意のあるインフラストラクチャを調査するだけでなく、タイプごとに監視し、Recorded Future Intelligence Cloud内でタイプごとに異なるリスクスコアを割り当てています。この区別は、重大度の異なるレベルを反映しています。たとえば、企業ネットワーク内のC2サーバーへのネットワークトラフィックは、通常、悪意のある活動が活発であることを示すため、管理パネルと比較してリスクが高いと考えられます。Insikt Groupが定義したインフラストラクチャの種類は、付録Bに詳述されています。

数字で見る2024年の悪意のあるインフラストラクチャの洞察

悪意のあるインフラストラクチャをプロアクティブに特定することは、さまざまな要因によって形成される複雑なタスクです。膨大な量のデータに加えて、特定の脅威アクターにリンクされた各マルウェアファミリ、バージョン、またはインフラストラクチャは、多くの場合、まったく独自のセットアップを採用しています。検知 Cloudflare などの CDN の背後でのホスティング、高ポートまたはランダムポートの使用、Discord や Telegram などの正規のインターネットサービスへの依存、侵害、ハッキングインフラストラクチャの悪用などの要因により、さらに困難になります。

これらのセットアップも絶えず進化しているため、Insikt Groupは常に追跡手法を革新し、洗練する必要があります。これらの要因を考慮し、このレポートはインフォスティーラー、バックドアおよびRAT、モバイルマルウェア、OST、ボットネット、ドロッパーおよびローダー、フィッシングキット、ウェブシェル、ランサムウェアを含む複数のカテゴリーにわたる悪意のあるインフラストラクチャを調査します。

全体として、2024年には、脅威の状況の進化とInsikt Groupによる検出手法の進歩により、特定された悪意のあるインフラストラクチャが大幅に増加しました。例えば、ユニークで検証済みのC2サーバーの数は2023年から2024年にかけて倍増し、ユニークで検証済みの管理パネルは同期間に69%増加しました。

さらに、Insikt Groupは、Recorded Future Network Intelligenceを使用して、被害者のIPアドレスの地理的位置に基づき、2024年に世界約200か国で被害者を特定しました。図1に示されている国々は、検出された一意の被害者の数に基づいて5つのグループに分類され、露出度が高い国々は地理的に世界中に分散しています。特に、国ごとに異なる人口規模、デジタルフットプリント、分析の偏り（追跡対象マルウェアの種類など）、インターネットインフラストラクチャ（プロキシなど）、被害組織の地理的ホスティング選択の違いにより、マルウェアの影響を正確に測定することは困難です。

図 1: Recorded Future Network Intelligenceに基づく国別のマルウェアの影響 (情報源: Recorded Future)

図2 は、さまざまな大陸にわたる国別の犠牲者の分布を示しています。北米では、米国が最も標的にされている国であり、人口の約半分にすぎないにもかかわらず、この地域の固有の被害者の約87%を占めています。米国の被害者数の多さは、人口の多さ、広範なデジタルフットプリント、英語の普及(フィッシングキャンペーンで悪用される)、経済などの要因によって引き起こされていると考えられる一方で、世界中の組織にホスティングとデジタルサービスを提供するグローバルインフラストラクチャハブとしての国の役割にも影響されています。ほとんどの被害者はAsyncRATに関連しており、SolarMarker RATとQuasarRATがそれに続きます( 表1を参照)。特に、AsyncRAT や QuasarRAT とは異なり、SolarMarker RAT は単一の脅威アクターによって運営されていると考えられており、以前は主に米国を標的にしていることが観察されています。

図 2: 国・大陸別ユニーク被害者シェア(情報源: Recorded Future)

南米では、ブラジルが一意の犠牲者数が最も多く、地域全体の86%を占めている一方で、大陸の人口の約半分しか占めていない。ブラジルは、以前はサイバー攻撃に対して最も脆弱な国の1つとして認識されていましたが、長い間、グローバルおよびローカルの両方のサイバー脅威のホットスポットであり、サイバー犯罪活動で上位にランクされており、Grandoreiroのようなグループはほぼ国内でのみ活動しています。2024 年には、ブラジルの犠牲者の間で QuasarRAT 感染が最も多く、AsyncRAT と SectopRAT に関連する感染がそれに続きました。

アフリカでは、アンゴラが一意の被害者数で最も多く、ガーナ、南アフリカ、コンゴ共和国、コンゴ民主共和国が続きました。注目すべきは、標的となったアフリカの5か国のうち2か国で、複数の中国政府支援グループに関連するマルウェアであるPlugXが最も蔓延しているマルウェアの1つにランクされていることです。

欧州では、一意の被害者数はフランスが最も多く、ドイツ、イギリス、オランダ、ポーランドが続きました。AsyncRATは5か国すべてで最も普及しているマルウェアであり、Cobalt Strikeは3か国で2位にランクされました。これらの上位5か国における被害者の分布は、各国の人口規模と密接に一致しています。特に、オランダでは、Go言語で書かれたマルウェアを使用してLinuxルーターを標的とするバックドアであるGobRATがマルウェアファミリーのトップ3にランクインしました。

アジアでは、一意の被害者数はインドが最も多く、次いで中国、インドネシア、タイ、香港が続きました。これらの国の全被害者の約73%は、AsyncRAT、QuasarRAT、Cobalt Strikeの感染に関連していました。特に、Brute Ratel C4は香港で上位3位のマルウェアにランクされ、その重要性の高まりが浮き彫りになっています。

オセアニアでは、オーストラリアが地域の全人口の60%しか占めていないにもかかわらず、一意の被害者人口では87%を占めています。AsyncRATは最も普及しているマルウェアであり、オーストラリアの被害者の半数以上に関連していましたが、ニュージーランドでは67%の被害者がAsyncRAT感染に関連していました。

表1は、Insikt Groupが観測した各大陸の主要5か国における一意の被害者数に基づいた上位3つのマルウェアファミリーの一覧です。

大陸

国

トップ1

トップ2

トップ3

北米

米国

AsyncRAT

SolarMarker RAT

クエーサーRAT

カナダ

SolarMarker RAT

AsyncRAT

DcRAT

Cuba

Rhadamanthys Stealer

AsyncRAT

PrivateLoader

メキシコ

AsyncRAT

DanaBot

Rhadamanthys Stealer

バハマ

Spylix

AsyncRAT

クエーサーRAT

ヨーロッパ

フランス

AsyncRAT

コバルトストライク

PrivateLoader

ドイツ

AsyncRAT

DcRAT

コバルトストライク

英国

AsyncRAT

コバルトストライク

DcRAT

オランダ

AsyncRAT

コバルトストライク

GobRAT

ポーランド

AsyncRAT

DcRAT

コバルトストライク

南アメリカ

ブラジル

クエーサーRAT

AsyncRAT

SectopRAT

コロンビア

AsyncRAT

Rhadamanthys Stealer

DcRAT

ペルー

Rhadamanthys Stealer

AsyncRAT

PrivateLoader

アルゼンチン

AsyncRAT

クエーサーRAT

Rhadamanthys Stealer

ベネズエラ

クエーサーRAT

Rhadamanthys Stealer

AsyncRAT

アジア

インド

AsyncRAT

コバルトストライク

Mythic

中国

コバルトストライク

AsyncRAT

クエーサーRAT

インドネシア

AsyncRAT

クエーサーRAT

DcRAT

タイ

AsyncRAT

クエーサーRAT

コバルトストライク

香港

クエーサーRAT

コバルトストライク

Brute Ratel C4

アフリカ

アンゴラ

クエーサーRAT

AsyncRAT

Gh0st RAT

ガーナ

AsyncRAT

Spylix

クエーサーRAT

南アフリカ

AsyncRAT

PrivateLoader

クエーサーRAT

コンゴ共和国

AsyncRAT

プラグX

クエーサーRAT

コンゴ民主共和国

AsyncRAT

プラグX

MoqHao

オセアニア

オーストラリア

AsyncRAT

コバルトストライク

DcRAT

ニュージーランド

AsyncRAT

DcRAT

Rhadamanthys Stealer

Fiji

AsyncRAT

Stealc

該当なし

ニューカレドニア

AsyncRAT

該当なし

フランス領ポリネシア

AsyncRAT

該当なし

表1: 各大陸の上位5か国における上位3位のファミリー（出典：Recorded Future）

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。