新種のランサムウェア、悪意あるドライバーを悪用してセキュリティ防御を無力化

2022年以降、組織を標的にし続けているランサムウェアファミリーの最新亜種が進化を遂げ、Microsoftによる署名が付与された悪意あるドライバーを悪用して、エンドポイント防御による攻撃の検知・阻止を回避するようになりました。

Symantecのサイバーセキュリティ研究者らが詳細を明らかにしたところによると、GodDamnランサムウェアは2026年5月に初めて出現し、コードの分析からBeastランサムウェアの最新版であることが判明しています。Beast自体も、2022年に初めて確認されたMonsterランサムウェアの改名版です。これら3つのランサムウェアはいずれも、Hyadinaと名付けられたファミリーに属しています。

Symantecの研究者らは7月9日に公開されたブログ記事の中で、攻撃者がリモートデスクトップアプリケーションのAnyDeskを利用していたことを確認したと述べています。このAnyDeskは、侵害されたエンドポイント上の「Music」という名前のフォルダに隠され、未知のIPアドレスへのアウトバウンド通信を行っていました。

研究者らによれば、これ以前に攻撃者がどのようにして端末への初期アクセスを獲得したかは不明ですが、アカウント侵害はランサムウェア攻撃における一般的な侵入経路であるとしています。

ここから攻撃者は、Symantec製品に偽装した実行ファイルを使用して、悪意あるカーネルドライバー「PoisonX」をシステムのドライバーストアに投下しました。このドライバーには正規のMicrosoft Windows Hardware Compatibility Publisherの署名が付与されており、セキュリティ製品のプロセスを終了させることで、システムの防御をさらに弱体化させる目的で使用されます。

関連記事: なぜランサムウェアはサイバーセキュリティにおいて最も執拗かつ高くつく脅威であり続けるのか

この署名がどのようにして取得されたのかは判明していませんが、一般的な手法としては、盗まれた企業のIDを使ってドライバーに署名させる方法や、攻撃者が正規のサードパーティ製ドライバーを密かに悪用する方法が挙げられます。

防御が弱体化した状態で、攻撃者は認証情報、Cookie、ライブのネットワークトラフィックなどを窃取するために使われるNirSoftやMimikatzといったツールをインストールしました。その狙いは、管理者アカウントを含め、端末やより広範なネットワークに対するさらなる制御権を獲得する手段を見つけ出すことにありました。

最終的に、アカウントとシステムに対して十分な制御権を獲得した段階で、攻撃者はGodDamnランサムウェアを起動し、ファイルを暗号化した上で身代金要求メッセージを表示しました。

研究者らは、Hyadinaファミリーの最新亜種であるGodDamnが、ランサムウェアの運用者が攻撃を確実に有効かつ強力なものに保つために、ツールや戦術、手順を絶えず進化させ続けている実態を示していると指摘しています。

「GodDamnによる、比較的新しく発見されたPoisonXという悪意あるドライバーコンポーネントの利用は、このグループによる防御回避能力の一段の強化を意味しており、Hyadinaがランサムウェアとその能力の開発を今なお積極的に続けていることを示しています」と、SymantecとCarbon Blackの脅威ハンティングチームは述べています。

翻訳元: https://www.infosecurity-magazine.com/news/ransomware-removes-cybersecurity/

ソース: infosecurity-magazine.com