マルウェアを無料で配るMaaS事業者「Sordeal」の実態 推奨される対策は？：セキュリティニュースアラート

CYFIRMAは、新型のマルウェア「Nova」を開発した高度なMaaS事業者Sordeal活動について調査結果を公開した。同マルウェアの特徴から推奨される対策を紹介している。

[後藤大地，有限会社オングス]

　CYFIRMAは2023年11月29日（現地時間）、2023年初頭から活動が観測され、同年9月以降特に活発化しているマルウェア・アズ・ア・サービス（MaaS）事業者である「Sordeal」について報じた。同グループは最近「Nova」と呼ばれる新しいマルウェアを使った情報窃取活動に取り組んでおり、その詳細が取り上げている。

CYFIRMAはMaaS事業者Sordealについて報じた。（出典：CYFIRMAのWebサイト）

悪質なマルウェアNovaが無料配布されている　推奨される対策は？

　指摘されている主な内容は以下の通りだ。

• Sordealは2023年初頭から活動しており、2023年9月以降さらに活発化している
• Sordealの開発した情報窃取型マルウェアNovaのフル機能バージョンへの無料アクセスキーをプレゼントするキャンペーンが多くのハッカーを引き付けている
• Novaの開発者はマルウェアにアンチフォレンジックおよび防御回避技術を組み込むことに長けている
• Novaの開発者はJavaScriptに精通している。特定のマルウェアユーティリティーにオープンソースソフトウェア（OSS）のフレームワーク「Electron」を使用していることが明らかになっている
• Novaはプログラミング言語AutoItを使ってWindows APIを読み出しており、最近見られる他の多くのマルウェアの特徴と共通している
• Novaはロシア語圏で一般的に使用されているインスタントメッセンジャー「ICQ」を標的としている

　CYFIRMAはマルウェアのソースコードを分析した結果、Novaが今後、対象がログイン／ログアウトしたタイミングで脅威者に通知する機能やパスワードを変更する機能、電子メールアドレスを変更する機能、二要素認証（2FA）を無効化してバックアップ回復コードを窃取する機能、ユーザーのクレジットカード情報を脅威者に送信する機能などを搭載すると予測している。

　CYFIRMAはサイバー攻撃の被害を受けないようにするために、以下の推奨事項を取り上げている。

• ネットワークセグメンテーションや境界防御の強化、エンドポイントセキュリティを組み合わせた包括的な防御戦略を策定して実践する
• 脅威インテリジェンスサービスと連携してMaaS事業者が採用する「進化する戦術、技術、手順」（TTPs）について常に情報を入手する。最新の脅威インテリジェンスに基づいて防御を定期的に更新してプロアクティブな検出機能を強化する
• 定期的なサイバーセキュリティトレーニングプログラムを実施してフィッシングやソーシャルエンジニアリングの手口、安全なWebブラウジングの実践について従業員に教育する
• 使用するソフトウェアを常に最新の状態にアップデートする。自動化されたパッチ管理ツールの活用を検討する
• 挙動分析やヒューリスティック検出、脅威インテリジェンスを組み込んだ高度なエンドポイント保護ソリューションを導入する
• アプリケーションのホワイトリストを実装する
• 感染の特定や封じ込め、根絶、回復のための明確な手順を概説するインシデント対応計画を確立し、定期的にテストして更新し続ける
• 定期的なセキュリティ監査を実施する
• 同業他社やサイバーセキュリティコミュニティー、関連当局との情報共有や意思疎通を確立していく

　Sordealはマルウェアの開発においても運用においても高度な技術を持っていることが示唆されている。CYFIRMAは組織に対して脅威検出機能の強化に加え、Webブラウザに対する脅威のエスカレーションや資格情報の窃取、暗号通貨ウォレットへの侵入といった攻撃に対する防御を強化する必要があると指摘している。