このグループは、信頼されたリモート管理およびファイル転送ツールを悪用し、Windowsマシン上でLinux暗号化ツールを配布しています。
Agendaランサムウェアグループ(通称Qilin)は、正規のリモート管理およびファイル転送ツールを悪用していることが、セキュリティ研究者による新たな報告で明らかになりました。LinuxベースのランサムウェアバイナリをWindowsホストに展開することで、この脅威アクターは2025年1月以降、700件以上の被害をもたらしています。
Trend Microの調査によると、このクロスプラットフォーム実行により、Windowsに特化した検出やセキュリティソリューション(従来のエンドポイント検出・対応プラットフォームを含む)を回避しています。Agendaランサムウェアグループが用いる手法は、バックアップ認証情報の標的型窃取や、脆弱なドライバー持ち込み攻撃(BYOVD)によってリカバリーオプションを無効化し、エンドポイント防御を無力化することも可能です。
「Agendaのキャンペーンは、クロスプラットフォーム実行とリモート管理の悪用、ドライバーレベルの改ざんを融合させているため危険です。Windowsのリモートツール経由でLinux暗号化ツールを実行し、BYOVDでEDRを停止させることで、強力かつ検知されにくい攻撃を実現しています」と、Constellation Researchの副社長兼主席アナリストChirag Mehta氏は述べています。
攻撃の手口
初期アクセス獲得のため、Agendaは偽のCAPTCHAページを使った高度なソーシャルエンジニアリング手法を用い、情報窃取型マルウェアを感染端末に配布しました。これにより、攻撃者は認証トークンやブラウザのクッキー、保存された認証情報など有効な認証情報を入手し、多要素認証(MFA)を回避して正規ユーザーのセッションを利用した横展開を可能にしたと、Trend Microは指摘しています。
SOCKSプロキシDLLは、Windowsの正規プロセスであるrundll32.exeを利用してメモリ上に直接ロードされ、リモートアクセスとコマンド実行を実現しました。攻撃者は「Supportt」という名前のバックドア管理者アカウントを作成しました。
ネットワークインフラのマッピングには、ScreenConnectの正規リモート管理機能が悪用され、探索コマンドが実行されました。これは一時的なコマンドスクリプトを用いて体系的にドメイントラストを列挙し、特権アカウントを特定しつつ、通常の管理者活動を装って行われました。NetScanユーティリティはデスクトップおよびドキュメントフォルダの両方から実行され、広範なネットワーク列挙が行われました。
さらに、リモート管理ツールとして、AnyDeskバージョン9.0.5の展開にATERA Networksのエージェントが正規のRMMプラットフォーム経由でインストールされ、通常のIT運用に紛れる形で利用されました。これらの手法により、攻撃者は正規に見える冗長なリモートアクセス手段を確保し、セキュリティ監視システムの目を欺いていました。
バックアップシステムが企業内の複数システムへの認証情報を保存していることを認識し、VeeamバックアップインフラがPowerShellスクリプトで標的にされ、認証情報が収集されました。
セキュリティソリューションを回避・無効化するため、攻撃者はBYOVDを通じて複数の手法を用いました。2stX.exeおよびOr2.exeはeskle.sysドライバーを利用してセキュリティソフトを無効化し、システム操作を妨害し、永続性を維持しました。msimg32.dllは2つの追加ドライバーファイルを展開するドロッパーとして使われました。さらに3つの実行ファイル(cg6.exe、44a.exe、aa.exe)もアンチウイルス対策ツールの可能性があるものとして確認されました。
複数のPuTTY SSHクライアントが感染システムに体系的に展開され、攻撃者はLinuxインフラへのSSH接続を確立し、Windowsシステム以外にも攻撃範囲を拡大しました。
Veeamバックアップソリューション、VMware仮想化インフラ、Adobeアプリケーションに関連する複数のSOCKSプロキシインスタンスを用いてコマンド&コントロールインフラを確立した後、最終的なランサムウェアが展開されました。
ファイル転送はWinSCPで行われ、LinuxランサムウェアバイナリはSplashtop RemoteのSRManager.exeを介してWindowsシステム上で実行されました。
Agendaランサムウェアは、製造、テクノロジー、金融サービス、医療など高価値分野の組織を攻撃し、身代金支払いの可能性が高いとされています。影響は62カ国に及び、被害者の多くは米国、フランス、カナダ、英国に集中しています。
ギャップの修正
脅威アクターは現在、正規のITツールやハイブリッドインフラを悪用して従来の防御を巧妙に回避しており、CISOにはセキュリティ戦略の再考が求められています。
Mehta氏は、Linuxバイナリがリモートツール経由でWindows上で実行される場合、Windows専用の検出では防げないと付け加えました。
さらにMehta氏は、AgendaランサムウェアはWindows中心の思い込み、保護の手薄なRMMツール、放置されたドライバーモニタリングを悪用していると述べました。多くの組織は、RMMエージェントやバックアップ認証情報が侵害された際に攻撃者がどれほどの制御権を得るかを過小評価しています。そのため、まずはアイデンティティ、RMM、ハイパーバイザー、バックアップから対策を始めるべきです。これらの制御プレーンが攻撃者の拡大を助けるためです。クロスプラットフォーム検出のギャップを埋め、カーネルドライバーの整合性を強制してBYOVDやLinux/Windows間の横展開経路を封じましょう。
また、製造業、医療、テクノロジー分野はRMMやファイル転送ツールへの依存度が高いため、これらを完全に置き換えるのは現実的ではありません。代わりに、CIOは承認済みプラットフォームへの集約、JITおよびセッションベースのアクセスの徹底、管理トラフィックの本番システムからの分離を行うべきだとMehta氏は指摘しています。
最後に、バックアップは独立したネットワーク、独立した認証情報、不変コピー、認証情報アクセスの継続的なデータベース監視を備えた別のセキュリティドメインとして扱うべきです。重要なのは、バックアップコントローラー自体が侵害される可能性を常に想定することです。
