TokyoBlackHatNews

gbhackers.com 5分で読了

ランサムウェアがSYSTEMタスクを悪用し、昇格した権限でドライブを暗号化

新たに分析されたランサムウェア「The Gentlemen」は、強力な暗号化と積極的な横断移動を組み合わせる能力により、セキュリティ研究者の間で懸念が高まっている。

この脅威が特に危険な理由は、SYSTEMレベルのスケジュールタスクを使用してローカルドライブを暗号化し、攻撃者が最高の Windows システム権限で操作できる点にある。

このテクニックにより、システムへのより深いアクセスが確保され、暗号化の信頼性が向上し、多くの標準的なユーザーレベルの制限を回避できる。

The Gentlemen ランサムウェアはコマンドライン引数を使用して実行を制御する。主要な機能は「–full」モードで、2つの並列プロセスを起動する。1つは「–system」フラグを使用してローカルドライブを標的とし、もう1つは「–shares」フラグを使用してネットワーク共有を標的とする。

システムモードが起動されると、マルウェアはSYSTEMアカウントで自身を再実行するスケジュールタスクを作成する。

Image

暗号化が始まる前に、ランサムウェアはMicrosoft Defenderを無効化し、シャドウコピーを削除し、イベントログを消去し、PowerShellの履歴などのフォレンジックアーティファクトを削除する。これらの手順により、検出と復旧の選択肢が大幅に減少する。

このアプローチにより、ランサムウェアはロックまたは保護されている可能性のあるファイルへの無制限のアクセスが可能になる。マルウェアはまず「gentlemen_system」という名前の既存のスケジュールタスクを削除し、次に昇格した権限で実行するように構成された新しいタスクを作成し、最後にそれをすぐに実行する。この一連の処理により、クリーンな実行が確保され、競合が回避される。

MicrosoftがStorm-2697として追跡しているこのランサムウェア・アズ・ア・サービス(RaaS)オペレーションは、2025年半ば以降急速に進化しており、現在は世界中の複数の業界で広範な攻撃に使用されている。

暗号化の観点から、The Gentlemen は Curve25519 楕円曲線暗号と XChaCha20 ストリーム暗号を組み合わせたハイブリッドモデルを使用している。

各ファイルはユニークな一時的な鍵を使用して暗号化され、ファイル間の強力な分離が確保される。小さなファイルは完全に暗号化され、大きなファイルは速度を上げるために複数のチャンクで部分的に暗号化されるが、それでも使用不能になる。

ランサムウェアがSYSTEMタスクを悪用

暗号化の他に、The Gentlemen ランサムウェア攻撃は、非常に積極的な自己増殖能力でも際立っている。「–spread」オプションを使用すると、マルウェアはPsExec、WMI、スケジュールタスク、サービス、PowerShellリモーティングなど、複数のテクニックを同時に使用してネットワーク上を横断移動しようとする。

速度引数(--fast、--superfast、--ultrafast)は相互に排他的であり、大きなファイルの各部分のどれだけを暗号化するかを制御する。

Image

マルウェアは、非表示のSMB共有を作成し、匿名アクセスを有効にすることで、感染したシステムを配布ポイントとして準備する。その後、他のマシンをスキャンし、ターゲットごとに最大21の異なる実行方法を試みる。

この冗長性により、一部のテクニックが失敗しても他のテクニックが成功する可能性があり、広範な侵害の可能性が大幅に高まる。

ランダムに生成された秘密鍵とそれに対応する公開鍵から成る、ユニークな一時的な Curve25519 鍵ペアを生成する。

さらに、このランサムウェアはダブル恐喝戦術を採用している。ファイルを暗号化するだけでなく、機密データを窃取し、身代金が支払われない場合は公開すると脅す。

Image

これにより、データの機密性が高い医療、金融、教育などの分野の被害者への圧力が増す。

スケジュールタスクとレジストリのランキーの両方を通じて持続性が維持され、マルウェアは再起動後も生存して動作を継続できる。場合によっては、削除されたデータの復旧を防ぐためにフリーディスク領域を消去し、インシデント対応をさらに複雑にする。

SYSTEMレベルの実行、強力な暗号化、マルチメソッドの伝播の組み合わせにより、The Gentlemen は非常に効果的で危険なランサムウェアの脅威となっている。

地下フォーラムを通じた採用の拡大は、組織が活動の増加を予想し、スケジュールタスクの悪用、権限昇格、異常な横断移動パターンの検出を優先すべきであることを示唆している。

侵害の痕跡(IoC)

インジケーター 種類 説明
22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 SHA-256 Gentlemen ランサムウェア暗号化ツール
078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b SHA-256 PsExec バイナリ
fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68 SHA-256 Gentlemen 壁紙ビットマップファイル

注意: IPアドレスとドメインは、誤った解決やハイパーリンクを防ぐために意図的に無効化されている(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化すること。

翻訳元: https://gbhackers.com/ransomware-abuses-system-task/

ソース: gbhackers.com
#Curve25519 #Microsoft Defender無効化 #RaaS #Storm-2697 #The Gentlemen #スケジュールタスク #ダブル恐喝 #ランサムウェア #権限昇格 #横断移動

関連記事

JINX-0164、LinkedInを誘い文句にカスタムmacOSマルウェアを展開

GREYVIBE:脅威アクターがChatGPTとGoogle Geminiを活用してサイバー攻撃作戦を拡大

Sicoob SDKに偽装した悪意のあるNuGetパッケージが銀行パスワードを窃取