「GodDamn」ランサムウェア、BYOVDで米国企業を標的に

改名を行ったばかりのランサムウェア集団が、Microsoftの承認を受けたドライバーを悪用して、米国の組織にマルウェアを忍び込ませています。

Symantecの研究者は最近、「Hyadina」として知られるグループによるサイバー攻撃を確認しました。Hyadinaは、活動歴4年のランサムウェア・アズ・ア・サービス(RaaS)組織で、以前使用していたロッカー「Beast」および「Monster」を発展させた新型ロッカー「GodDamn」を投入しています。同グループは通常、米国の組織を標的としており、旧ソ連諸国に対しては明確に攻撃対象外とする傾向を見せています。標的となった業種は、医療、製造、教育など多岐にわたり、機会があればどこにでも侵入を試みています。

身元が特定されていない、ある組織に対する最近の攻撃事例では、Hyadinaは正規のリモート監視・管理(RMM)ソフトウェアや、10種類を超えるペネトレーションテストツールなど、多用途のハッキングツール群を駆使していました。とりわけ厄介だったのは、Windows上でカーネルアクセス権を持ち、セキュリティソフトウェアを含むあらゆるプロセスを強制終了できる悪質なプログラムでした。

オープンソースと正規ツールがランサムウェアへの道を開く

研究者らは、Hyadinaがどのようなソーシャルエンジニアリング手法や初期侵入戦術を用いたのかを特定できませんでした。最初の異変の兆候は、5月29日に、感染した1台のコンピューターのMusicフォルダーに不自然な形で読み込まれた、予期せぬAnyDeskのインスタンスでした。AnyDesk自体は完全に正規のソフトウェアプラットフォームですが、攻撃者は従来型のシェルの代わりによくこれを利用します。

その翌日、攻撃者は2台目の感染コンピューターに、あろうことか「symantec.exe」という名前のバイナリを設置しました。このバイナリは名前で挑発するだけでなく、「PoisonX」という悪質なカーネルドライバーもドロップしました。このドライバーには不可解にも、Microsoftの正規のHardware Compatibility署名が付与されていました。PoisonXはセキュリティ関連のプロセスを強制終了させ、ユーザーモードのアプリケーションプログラミングインターフェース(API)フックを除去することで、ホストコンピューター上で稼働するエンドポイントセキュリティツールの機能を無力化しました。

続いてHyadinaは、14種類の異なるツールで構成されるツールキットを展開し、攻撃をさらに一段階進めました。この14種類はすべてオープンソースソフトウェア(OSS)のプログラムで、Windows環境における様々な種類の認証情報窃取に使用されるものでした。具体的には、ブラウザー・メール・インスタントメッセンジャーの認証情報窃取ツール、Wi-Fiおよびライブネットワークトラフィックの傍受ツールなどが含まれます。これら14種類のうち、Mimikatzを除くすべてが、Windows向けユーティリティを無償提供するWebサイト「NirSoft」由来のものでした。

Symantecのブリジッド・オゴーマン(Brigid O Gorman)氏は、次のように嘆いています。「残念ながら、ほぼすべてのツールは、悪意ある者の手に渡れば悪用され得るものです。だからこそ、振る舞い検知やアダプティブ防御といった仕組みが重要なのです。明らかに悪質なファイルやツールを単純にブロックするだけでなく、たとえその挙動が一見正規に見えるツールから発生していたとしても、ネットワーク上の不審な振る舞いそのものをブロックできるからです」

Hyadinaは、商用RMM、署名済みドライバー、OSSの認証情報窃取ツール、そしてPsExecによる横展開を組み合わせることで、被害組織の環境内に確実に足場を築き、その後ランサムウェアを展開することに成功しました。

PoisonXをめぐる謎

謎の署名済みドライバーであるPoisonXは、4月7日にGitHubに公開されました。ブログ記事の中で、作成者を名乗る「oxfemale」は、これを「研究ツール」であると説明しています。

この作成者は非常に高い頻度でレッドチーム向けツールを公開しており、新しいエクスプロイトの概念実証(PoC)、認証情報窃取ツール、アンチウイルス無効化ツールなどを、週単位、時には日単位で生み出しています。LinkedIn上では、自身をリバースエンジニアリングとペネトレーションテストを専門とするロシア人セキュリティ研究者だと名乗っています。Dark Readingは、これらのツールを作成した意図を確認するため本人への接触を試みましたが、本稿の公開時点では連絡が取れていません。

Symantecは、そのマーケティング上の主張にもかかわらず、PoisonXをマルウェアと断定することにためらいがないとしています。Gorman氏によれば、正規の用途は一切見当たらないとのことで、振り返ってみれば「確かに、Microsoftによって署名されるべきではなかったと言うのは簡単です。しかし、攻撃者がこのドライバーに署名を得るためにどのような手段を講じたのか、あるいはどのようにMicrosoftを欺いた可能性があるのかについては、私たちには分かりません」と述べています。

Microsoftは、まさにこうした事態に備えて脆弱なドライバーのブロックリストを維持しています。これは、既知の危険なドライバーについては、署名があっても読み込みをブロックすることで、持ち込み型脆弱ドライバー(BYOVD)攻撃を防ぐものです。しかし、Hyadinaのような攻撃者から組織を守るには、このブロックリストだけに頼ることはできません。

Gorman氏は次のように指摘しています。「あるドライバーが特定されてから、そのブロックリストの更新が企業のエンドポイントに反映されるまでには、数日、多くの場合は数週間のタイムラグが生じます。つまり、ある時点でブロックリストに登録されているのは、既知の脆弱なドライバーのほんの一部に過ぎないということです。そして残念なことに、攻撃者はしばしばブロックリストの更新よりも速く動きます」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/goddamn-ransomware-byovd-smite-companies

ソース: darkreading.com