コンテンツにスキップするには Enter キーを押してください

新たなCrypto24ランサムウェア攻撃がEDRを回避

投稿日 2025年8月16日

Rob Wright、シニアニュースディレクター、Dark Reading

2025年8月15日

読了時間:3分

コードの行の中央にEDRの文字

出典:Maurice Norbert(Alamy Stock Photo経由)

研究者らは、新たなCrypto24ランサムウェアキャンペーンを発見し、これが脅威の状況における「危険な進化」を示していると述べています。

Trend Microの研究者によると、最近のCrypto24攻撃者による攻撃は、高度な回避技術とカスタムツールの組み合わせを示しており、Trend Micro自身のVision Oneプラットフォームを含むEDRソリューションを無効化することができます。Crypto24は2024年に初めて発見されましたが、最近までは大きな影響を与えていませんでした。しかし、最近になってEDRプラットフォームを回避し、セキュリティソリューションを突破する最新のランサムウェアグループとなりました。

Trend Microのレポート(木曜日公開)は、Crypto24が他のランサムウェアグループと一線を画す高いスキルを示していることを詳述しています。例えば、研究者らはCrypto24攻撃者がPSExecやAnyDeskなどの正規プログラムを含む幅広いツールを巧みに展開し、リモートアクセスや水平移動、さらにGoogle Driveをデータ流出に利用していることに注目しました。

「さらに重要なのは、Crypto24がカスタマイズされたRealBlindingEDR(セキュリティソリューションを無効化するオープンソースツール)のバリアントを成功裏に展開し、当社のセキュリティコントロールを無力化したことです。これにより、彼らが最新の防御を回避する能力を持つことが示されました」とレポートは述べています。「攻撃者のカスタマイズ版は、高度な回避技術を用いており、おそらく未知の脆弱なドライバーを介していると考えられます。これは深い技術的専門知識と継続的なツール改良を示しています。」

Trend Microの研究者は、Crypto24攻撃者がこれらの攻撃において「稀な」戦略的計画と忍耐を示していると述べており、主にアジア、ヨーロッパ、米国の金融サービス、製造、エンターテインメント、テクノロジー業界の大企業を標的にしているとしています。

EDRプラットフォームが標的に

Trend Microの研究者は、Crypto24攻撃者がカスタム版RealBlindingEDRとgpscript.exeという正規のグループポリシーユーティリティを使い、ネットワーク共有からTrend Vision Oneをリモートでアンインストールした最近の攻撃を観測しました。

レポートによると、攻撃者はTrend Vision OneのアンインストーラーXBCUninstaller.exeを使用しています。これは、サイバーセキュリティベンダーが展開時のエージェントの不整合修正などの問題解決のために顧客に提供している正規ツールです。Trend Microの研究者によれば、攻撃者は管理者権限が必要なこのアンインストーラーを、侵害されたシステム上で以前の悪意ある活動によって昇格権限を得た後にのみ使用できたとしています。

「我々が観測したのは、攻撃者が正規の管理ツールを利用して、侵害後のシナリオで攻撃を進める『Living off the Land』戦術の典型例です」と研究者は記しています。「このケースでは、当社自身のメンテナンステールを使ってエンドポイント保護を無効化し、その後他のデバイスへ横展開しました。」

レポートは、「適切に構成された」強力なアクセス制御と最小権限の原則を持つシステムであれば、Crypto24攻撃を防げると強調しています。しかし、EDR技術に対する継続的な攻撃の最新の例は、攻撃者がこれらの製品を研究・分析し、悪用できる弱点を見つけていることが明らかであるため、懸念されます。

「攻撃者は企業の防御スタックを明確に理解し、それを回避する能力を示しています」と研究者は記しています。

さらに、Crypto24の運用者がカスタマイズしたRealBlindingEDRで武器化した脆弱なドライバーが何かは不明であり、組織はどの悪意あるドライバーをブロックリストに追加すべきか判断できません。

また、Trend Microだけがこれらの攻撃の影響を受けているわけではありません。レポートによると、RealBlindingEDRのバージョンは、Cisco、Kaspersky Lab、MalwareBytes、Sophos、Trellixなど、約30社のセキュリティ製品のコールバックを削除します。

Crypto24への防御

Trend Microは、Crypto24がビッグゲームハンティングを行っていると警告し、企業に防御強化を促しています。

「Crypto24は、大企業やエンタープライズレベルの組織内の著名な組織を標的にしています」とレポートは述べています。「最近の攻撃の規模と高度さは、運用資産や財務資産を多く有する組織に意図的に焦点を当てていることを示しています。」

Trend Microは、ネットワーク全体で強力なアクセス制御を実施し、最小権限の原則を適用することに加え、Crypto24攻撃者によるセキュリティ製品の無効化や削除を防ぐために、改ざん防止対策を講じるよう顧客に促しています。

「Windowsでエージェントの自己防御を有効にすることで、ローカルユーザーによるTrendエージェントの改ざんや削除を防げます」と研究者は述べています。「さらに、Trendの自己防御機能を有効化することで、ローカルユーザーがTrend製品を改ざんしたりアンインストールしたりできなくなり、エンドポイントの完全性と重要なセキュリティコントロールを保護できます。」

Trend Microはまた、特権アカウントの定期的な監査、リモートデスクトッププロトコルやリモートツールの使用を許可されたシステムのみに制限すること、スケジュールされたタスクやサービス作成を定期的に点検し悪意ある活動の兆候を監視することなど、追加の対策を講じるよう組織に推奨しています。

翻訳元: https://www.darkreading.com/cybersecurity-operations/crypto24-ransomware-bypass-edr

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です