Gentleman ランサムウェア・アズ・ア・サービス(RaaS)は、アフィリエイターが攻撃時に検知を回避できるよう、エンドポイント検知・応答(EDR)キラーのツール群を積極的に開発・維持しています。
このグループはEDRを無効化するツール群を使用しており、中でも研究者が「GentleKiller」と名付けたツールが特筆されます。このツールは少なくとも8つのバリアントを持ち、Kaspersky、Valorant、Javelin、WatchDogなど、さまざまな正規のセキュリティ製品を装います。
このグループはEDRキラーのツール群を使用しており、中でも最も頻繁に使われるのが研究者がGentleKillerと命名したカスタムツールです。さまざまな正規製品を模倣した少なくとも8つのバリアントが確認されています。
EDRキラーは一般的に攻撃の初期段階で防御機能を無効化するために使用され、ランサムウェア攻撃においてはデータ窃取や暗号化処理を妨害なく実行するために機能します。
これらのツールは「Bring Your Own Vulnerable Driver(BYOVD)」技術を活用して権限を昇格させ、セキュリティエンジンを無効化します。
ESETの研究者によると、GentleKillerの各バリアントはカーネルレベルの権限を取得するために異なる脆弱なドライバーを使用しています。しかし、いずれも共通の文字列、同一のコード難読化技術、類似したプロセス終了ロジックとターゲット範囲を共有しています。
バリアントの分析から、このフレームワークは大規模なコード変更を必要とせず、ドライバーの交換や新たに開示された脆弱性の武器化を容易に行えるよう設計されていることがわかります。
ESETによると、GentleKillerはMicrosoft、CrowdStrike、SentinelOne、Palo Alto、Sophos、Trend Micro、ESET、Bitdefender、McAfee/Trellix、Kasperskyなど約48のセキュリティベンダー・製品に関連する400以上のプロセスを標的にしています。
EDRキラーツールのバイナリは、商用のEnigmaおよびThemidaパッキング・コード保護ツールで保護されています。ESETは、この脅威アクターが正規ソフトウェアから盗んだデジタル署名を使用しているものの、それらは無効であると指摘しています。
GentleKillerはGentlemanランサムウェア攻撃で使用される標準ツールですが、ESETの報告によると、この脅威グループのEDRキラーコレクションには少なくとも3つの外部ツールも含まれています。
- HexKiller(以前はWarlockグループが使用)
- ThrottleBlood(MesudaLockerおよびDragonForce攻撃との関連が確認)
- HavocKiller(他のランサムウェア攻撃でも確認)
Gentleman RaaSがこれらを追加した目的は、冗長性の確保、攻撃者特定の困難化、またはGentleKillerの効果が限定的となる特定ケースへの対応と考えられます。
さらにESETは、Rustベースの認証情報窃取ツール「OxideHarvest」の使用も記録しています。研究者たちは、使用プログラミング言語の選択から、このツールは外部で開発されたと考えています。
研究者の分析によると、GentlemanランサムウェアはFortiGateエンドポイントの設定に基づいてターゲットを選定しています。これは、約74,000件のFortiGate VPN認証情報が流出した「FortiBleed」が最近発見されたことを踏まえると、特に注目すべき点です。
Gentlemen RaaSはかつてルーマニアのエネルギープロバイダーOlteniaを侵害しており、1,570台以上のホスト(企業の被害者と思われる)を擁するSystemBCプロキシマルウェアボットネットとの関連も確認されています。
攻撃者より先にすべての層をテスト
セキュリティチームが記録できる攻撃の成功は54%にとどまり、アラートを発生させられるのはわずか14%です。残りは環境内を検知されることなく侵入し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がどのようにSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐかを解説しています。
