新たなランサムウェア「Charon」がDLLサイドローディングを利用し重要インフラに侵入

トレンドマイクロは、新たなランサムウェア「Charon」を特定しました。このランサムウェアは、中東の航空業界や公共部門を標的とした高度にターゲット化された攻撃で展開されています。

従来のランサムウェアとは異なり、CharonはDLLサイドローディング、プロセスインジェクション、エンドポイントセキュリティ回避など、APT（高度持続的脅威）型の手法を活用してシステムに侵入し、防御を無効化し、カスタマイズされた身代金要求を届けます。このキャンペーンの精密さとステルス性は国家支援型のサイバー作戦と比較されており、専門家はランサムウェアが新たな高度化の段階に入ったと警告しています。

トレンドマイクロの分析によると、攻撃者はDLLサイドローディングを用いてCharonランサムウェアのペイロードを配信しました。侵入は正規のEdge.exeバイナリの実行から始まり、これを悪用してmsedge.dll（SWORDLDRとも呼ばれる）という悪意のあるDLLファイルをサイドロードしました。このローダーは埋め込まれたランサムウェアのペイロードを復号し、新たに生成されたsvchost.exeプロセスにインジェクションしました。これにより、マルウェアは正規のWindowsサービスを装い、エンドポイントセキュリティ制御を回避することができました。

「Charonは、国家支援型APTキャンペーンに通常見られるステルス性、精密さ、持続性を融合した次世代のランサムウェアです」とAI&Beyondの共同創設者、Jaspreet Bindra氏は述べています。「単にファイルを暗号化して身代金を要求する従来のランサムウェアとは異なり、Charonは忍耐強く計画的に行動します。静かに侵入し、信頼されたアプリケーションを利用して存在を隠し、セキュリティツールを無効化し、バックアップを意図的に破壊してからデータをロックするため、企業にはほとんど回復の道が残されません。」

身代金メモには被害組織名がカスタマイズされて記載されており、このキャンペーンが広範な機会的攻撃ではなく、標的型であることを強調しているとトレンドマイクロは認めています。

「Charonランサムウェアは、APTレベルの手法がランサムウェア攻撃でも活用されるようになり、航空、医療、BFSI（銀行・金融・保険）、公共サービスなどの重要分野への脅威が劇的に増大していることを示しています。さらに、被害者ごとにカスタマイズされた身代金メモは、標的組織への心理的圧力を一層高めています」とAnkura Consultingインド担当シニアマネージングディレクター、Amit Jaju氏は述べています。

Earth Baxiaとの重複の可能性

トレンドマイクロの分析では、Charonの手法と、以前に政府部門を標的にしていた脅威アクター「Earth Baxia」グループが用いた手法との間に技術的な類似点が明らかになりました。同社はCharonとEarth Baxiaを断定的に結びつけることはできなかったものの、暗号化シェルコード配信のために同じバイナリ/DLLツールチェーンが使われている点に重複があると指摘しています。これは、直接的な関与、意図的な模倣、または同様の手法の独立した開発の可能性を示唆しています。

Charonの事例は、ランサムウェア運用者がAPTレベルの手法をますます採用していることから、企業にとってリスクが高まっていることを浮き彫りにしています。DLLサイドローディング自体は一般的な手法ですが、今回は一致するツールチェーンと暗号化ペイロード配信を用いて実装されました。この進化により、組織は犯罪的意図とAPTグレードの手法が融合した脅威に対して防御を強化する必要があります。

「APTの手法は高度で、暗号化されたマルウェアペイロードを静かにサイドローディングすることでシステムに体系的に侵入します。これらの攻撃は、検知が難しい微妙な異常を作り出すことで、しばしばセキュリティ制御を回避します」とCounterpoint Research副社長のNeil Shah氏は述べています。

Shah氏はさらに、脅威アクターは多要素認証（MFA）の欠如、ゼロトラストセキュリティモデルの未導入、不十分なアクセス制御など、一般的な脆弱性を悪用することが多いと指摘しています。これらの弱点への対処は基本ですが、基本的なセキュリティ衛生は不可欠です。これには、実行可能ファイルやDLLの実行を制限する強力なコンプライアンスポリシーの徹底、サイドローディング試行のブロック、アクセス・権限ポリシーの衛生向上が含まれます。

専門家は、CISO（最高情報セキュリティ責任者）はランサムウェアの検知、防止、対応戦略を再考すべきだと考えています。

「CISOは、CharonのようなAPT型ランサムウェアに対し、非標準DLLのロードをブロックする厳格なバイナリアロウリスティング、信頼されたバイナリからのプロセスインジェクションや疑わしい復号を検知する行動検知、EDR、XDR、脅威ハンティング、異常監視を組み合わせた多層防御で対抗すべきです」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。また、異常なファイル、ドライバ、信頼チェーンの変更を検知するための監査・テレメトリの強化や、Charonの戦術を模した標的型攻撃訓練を実施し、迅速な復旧と効果的なネットワーク分割を確保する必要があります。

これらの脅威に対抗するため、組織はBYOVD（脆弱なドライバ持ち込み）攻撃への防御も強化し、ネットワーク環境を分割して侵害の拡大を防ぎ、厳格なアプリケーションアロウリスティングを実施し、オフラインかつ改ざん不可能なバックアップを維持して復旧性を確保すべきだとJaju氏は付け加えています。さらに、検知活動はDLLサイドローディング手法やマルチスレッド暗号化活動のパターンの特定に注力し、Charonのような進化するランサムウェア脅威を迅速に発見・対応する必要があります。

7月には、トレンドマイクロがアジア、ヨーロッパ、米国の医療、テクノロジー、イベントサービスなどの重要インフラ分野を標的とする別のランサムウェアグループBERTを追跡していました。