米国で発見されたサーバーの集合が、国内最大規模のマルウェア攻撃やフィッシング攻撃の一部に関与している。
これはセキュリティ企業Bromiumの報告によるもので、悪名高いDridexやGandCrab攻撃など、現在インターネット上で広まっている主要なマルウェアやフィッシング攻撃10件を拡散させるために、12台強のサーバーが使用されているという。
ブロミウム氏によると、今回の調査結果は、マルウェア攻撃は主に海外を拠点とし、米国法執行機関の手が届かない場所で行われているという見方を覆すものだという。むしろ、こうした攻撃を可能にするフレンドリーホストは、米国内のすぐ近くで活動しているのだ。
「ホスティングインフラが米国にあり、法執行機関に非協力的であることが知られている管轄区域ではないことは、私たちにとって興味深いことでした」とブロミウム氏は語った。
米国のホスティングプロバイダーを選択する理由として考えられるのは、通常のネットワークトラフィックプロファイルの範囲外にある国との間のトラフィックをブロックしている組織内で、WebサーバーからマルウェアをダウンロードするためのHTTP接続が成功する可能性が高くなることです。
DridexとGandCrabの感染はどちらも長年にわたって拡散しており、それぞれ非常に効果的であることが証明されています。Dridexはトロイの木馬としてメールの添付ファイルを介して拡散し、銀行の認証情報を記録して送信しようとします。
マルウェアの入ったUSBスティックを持ってトランプ氏の別荘マール・アー・ラーゴに侵入したとされる女性の謎
続きを読む
一方、GandCrab はランサムウェアとして動作し、その管理者が被害者から数億ドルもの金銭を巻き上げたと推定される巨額の支払い要求で知られています。
ブロミウムは、両作戦は米国内の犯罪者によって米国人やその他の英語圏の人々を感染させるという明確な目的で実行された国内での取り組みであると信じる理由があると述べた。
さらに、これら2つの攻撃は氷山の一角に過ぎないようです。DridexとGandCrabに使用されているサーバーとホストのネットワーク内で、Bromiumはスパムメールやフィッシングメールを通じて拡散する他の8つのマルウェア攻撃を発見しました。
ブロミウムは、サーバーとホストが連携して一種の配布センターとして機能し、さまざまな攻撃やフィッシング攻撃が絡み合い、相互にサポートし合うようになると指摘した。
「複数のマルウェアファミリーが同一サーバー上にホストされているケースを複数確認しました」とセキュリティハウスは述べている。「2つのマルウェアファミリーが連携して使用され、一方が他方のドロッパーとして機能するケースもありました。」®
