GodDamn(ゴッドダム)ランサムウェア攻撃、横展開にPsExec、認証情報窃取にNirSoftツールキットを悪用

標的型のGodDamnランサムウェア事案の分析から、このペイロードが完全な新種ではなく、長期にわたって活動を続けているファミリーの最新のリブランドであることが判明しました。

分析の結果、Beast(2024年にMonsterからリブランドされたもの)とのコードの重複が強く見られたほか、攻撃手法も過去のHyadinaによるキャンペーンと酷似していることが分かりました。

ステルス性の高い侵入経路の確保、NirSoftユーティリティを用いた認証情報の窃取、カーネルレベルでの防御回避、リモートアクセスツールの利用、そして暗号化前のPsExecによる横展開といった一連の手口が確認されています。

2026年5月下旬から6月上旬にかけて観測されたこの侵入は、ユーザーのMusicフォルダ配下という不自然な場所からAnyDeskが実行されたことから始まりました。これは、既にアクセス権を持っていた攻撃者による手動展開であることを示唆しています。

AnyDeskクライアントは複数のリレーIPに接続し、無人アクセス向けに設定されていました。攻撃者は同意プロンプトを抑制し、再起動後も生存できるよう永続的なサービスを登録していました。

この手法により、目立つリモートアクセスの挙動を最小限に抑えつつ、警告のトリガーとなりうる動作を回避しながら、永続的かつ対話的な制御を実現していました。

認証情報の収集は組織的かつ網羅的なものでした。調査チームは、ユーザープロファイル配下にステージングされたツールキットを発見しており、そこにはMimikatzに加え、WebBrowserPassView、ChromePass、PasswordFox、MailPassView、VNCPassView、WirelessKeyViewをはじめとする14種類のNirSoftユーティリティ、さらにホスト探索用のNetscanが含まれていました。

このツール一式はブラウザ、Windows資格情報マネージャー、キャッシュされたドメイン認証情報、VNCおよびメールクライアント、Wi-Fiプロファイル、さらにはライブトラフィックのキャプチャまでを網羅しており、窃取したアカウント情報を用いた迅速な認証情報の窃取と横展開を可能にしています。

これらのランサムウェアファミリーの開発者について、Symantec Threat Hunter TeamはHyadinaとして追跡しています。Monsterは2022年に初めて文書化されており、当時の詳細な痕跡情報が、今回の活動を同じ開発者集団に結びつける手がかりとなっています。

横展開にはPsExecが使用されていました。拡散段階における悪意のあるコマンドはすべて、psexesvc.exe、services.exe、wininit.exeを経由しており、PsExecベースの拡散モデルであることが裏付けられています。

GodDamnランサムウェアの攻撃手口

攻撃者はipconfigやtasklistを用いた基本的な偵察を行った後、窃取した認証情報で管理共有をマウントし、到達したホストにAnyDeskアクセスをインストールして、強固なリモートアクセス基盤を構築しました。

スクリプトと再利用可能なPowerShellインストーラーにより、観測された環境内の少なくとも10台のホストにわたって展開が加速されました。

このキャンペーンで特に注目すべき危険な特徴が、カーネルレベルでの防御回避です。攻撃者は、Symantecのバイナリになりすましたファイルを展開し、これによって署名済みのカーネルドライバー「PoisonX」をシステムのドライバーストアに投下しました。

PoisonXは「Microsoft Windows Hardware Compatibility Publisher」による正規のものに見える署名を持っており、セキュリティプロセスを終了させたり、ユーザーモードのフックを除去したりすることが可能です。

ネットワークセキュリティソリューション

BYOVD(Bring Your Own Vulnerable Driver)攻撃は通常、正規の脆弱なドライバーを悪用するものですが、PoisonXは署名を取得した悪意のあるドライバーそのものであるように見受けられ、攻撃者にエンドポイント防御を無力化する異例に強力な能力を与えています。

PoisonXについては、2026年初頭にも同様のCrowdStrikeを機能停止に追い込む挙動が既に報告されています。

認証情報のステージングと防御機能の無効化(Defenderのリアルタイム監視のプログラムによる無効化を含む)を終えた後、攻撃者は暗号化を展開するまでの間、一定の潜伏期間を設けていました。

GodDamnのサンプルはユーザープロファイルディレクトリ内に出現し、多くの場合、暗号化されたファイルには.God8Damnという拡張子が付与されていました。ただし、Symantecが調査した今回の事案では、攻撃者は代わりに被害組織名を拡張子として使用しており、これは今後の事案の帰属特定に役立つ可能性のある異例な特徴です。

今回のタイムラインとツールセットは、Hyadinaの過去の手口と一致しています。2022年のMonster、2024年のBeast、一貫して使用されているNirSoftの認証情報窃取ツール、リモートアクセス用のAnyDesk、そして暗号化と標的選定を洗練させ続けるリブランドという流れです。

2019年のSOC向けに書かれたSLAはもう卒業を——2026年版AI SLAベンダーチェックリストはこちら – 無料のAI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/goddamn-ransomware-attack/

ソース: gbhackers.com