Pegasus スパイウェアが iOS、Android デバイス間で急増

研究者らは7つの新たな発見を行った ペガサス ジャーナリスト、政府関係者、企業幹部をターゲットとしたスパイウェア感染は数年前に始まり、iPhone と Android デバイスの両方に広がっており、この悪名高いスパイウェアの範囲がかつて考えられていたよりもさらに広範囲に及ぶ可能性があることを示しています。

iVerify の研究者は、次の攻撃によって侵害された複数のデバイスを発見しました。 イスラエル企業NSO Groupのスパイウェア 2021 年から 2023 年の間に開始され、Apple iPhone iOS バージョン 14、15、16.6 と Android に影響を与える攻撃により、 ブログ投稿で明らかになった この感染は、チェックにオプトインした iVerify ユーザーによる 3,500 台のデバイスの脅威ハンティング スキャン中に 5 月に発見されました。

具体的には、調査により、iOS と Android にわたる 5 つの固有のマルウェア タイプに複数の Pegasus 亜種が発見されました。研究者らは、デバイス上で見つかった診断データ、シャットダウン ログ、クラッシュ ログからフォレンジック アーティファクトを検出しました。

Verifyの共同創設者でiOSセキュリティ研究者のMatthias Frielingsdorf氏は、「われわれの調査では、スキャン1,000回あたり2.5台の感染デバイスが検出された。これは、これまでに公開されたレポートよりも大幅に高い割合だ」と投稿で書いている。それぞれの感染は「密かに監視され、所有者の知らないうちにデータが侵害される可能性のあるデバイスを表していた」と同氏は書いている。

関連している:そのエッジトゥーンに名前を付けてください:束縛されています!

「この発見は、モバイル デバイス上のスパイウェアの蔓延に関する私たちの仮説を裏付けました。スパイウェアは、従来のエンドポイント セキュリティ対策では検出されず、目に見えるところに隠れていたのです。」

Pegasus スパイウェアのリーチは過小評価されていますか?

この調査結果はまた、セキュリティ研究者が一般的にモバイル スパイウェア、特にペガサスの影響範囲を過小評価していた可能性があることを示していると、iVerify の共同創設者兼 COO である Rocky Cole 氏が Dark Reading に語った。

NSO Group (iVerify が「Rainbow Ronin」として追跡している敵対者) によって開発された Pegasus は、コントローラーが OS の脆弱性を悪用して悪用できるようにする特に厄介なスパイウェアです。 ゼロクリック攻撃 悪用されたモバイル デバイスから必要なものにアクセスして抽出します。攻撃者は、ユーザーの知識や操作なしに、メッセージ、電子メール、メディア ファイル、パスワード、および詳細な位置情報を傍受して送信する可能性があります。

Pegasus は 2021 年に、ジャーナリスト、政治家、人権擁護活動家に対する違法な監視に国家の援助を受けた関係者によって使用されていることがセキュリティ研究者によって発見され、最初の悪名を博しました。 その他の利害関係者 政府諜報機関に。それ以来、政府がどのようにスパイウェアを悪用したかを示す他の多くの感染が表面化しました。 特にジャーナリスト 十字線で。

関連している:Microsoft、Windows Resiliency Initiative でデバイスのセキュリティを強化

今回の iVerify の発見は、国家の支援を受けた攻撃者が、最も注目を集めるターゲットを監視するために狭い方法でモバイル スパイウェアを使用しているだけでなく、通常ターゲットとなる集団内の、自分たちのネットワークにいる可能性が低いと思われる人々をスパイしている可能性があることを示唆しています。レーダーだとコールは言う。

「以前は、まれで高度に標的を絞った脅威であると考えられていた Pegasus は、より蔓延しており、高リスクのユーザーに属するデバイスだけでなく、より広範囲のデバイスに感染する可能性があることが判明しました」と彼は言います。

さらに、iVerify の調査により、iOS の複数のバージョンにわたって複数の Pegasus 感染が明らかになり、その一部は数年前に遡るものであり、従来のセキュリティ対策ではそのような脅威を検出できないことが多いことは明らかです。これは、モバイルデバイスのユーザー自身が「以前は見えなかった脅威を理解し、防御する力」を得るためにマルウェアの検出に含める必要があることを示唆しているとフリーリングスドルフ氏は書いている。

自分のデバイスの脅威を追跡する

コール氏は、スパイウェアはパッチが適用されていない脆弱性を悪用することが多いため、スパイウェアの感染を事前に防ぐためのベストプラクティスには、定期的にデバイスをできるだけ早く最新のOSにアップデートすることが含まれると述べている。また、EDR はすべての感染を検出できるわけではありませんが、組織にとって、より積極的なデバイス固有の脅威ハンティングと併用して「脅威をリアルタイムで検出して対応するのに役立つ」便利なツールとなり得ると同氏は言います。

関連している:Microsoft、ついに Windows Insider Preview の一部として Recall をリリース

また、組織は従業員、特にリスクの高い役割に就いている従業員に、スパイウェア感染に対する必須の保護としてのモバイル セキュリティのリスクとベスト プラクティスについて教育する必要があるとコール氏は付け加えています。



出典