Qilinランサムウェアオペレーションが、従来のセキュリティツールによる検出を回避するために、Windows Subsystem for Linux(WSL)を利用してWindows上でLinux暗号化ツールを実行していることが確認されました。
このランサムウェアは2022年8月に「Agenda」として最初に登場し、9月にはQilinにリブランドし、現在もその名前で活動を続けています。
Qilinは最も活発なランサムウェアオペレーションの一つとなっており、Trend MicroとCisco Talosの新たな調査によると、今年だけで62カ国、700以上の被害者を攻撃したと報告されています。
両社は、このグループが世界で最も活発なランサムウェア脅威の一つとなっており、2025年後半には毎月40件以上の新たな被害者を公表していると述べています。
両サイバーセキュリティ企業によると、Qilinのアフィリエイトは、正規プログラムとリモート管理ツールを組み合わせてネットワークに侵入し、資格情報を窃取しています。AnyDesk、ScreenConnect、Splashtopなどのリモートアクセスアプリケーションや、Cyberduck、WinRARなどのデータ窃盗用アプリケーションが利用されています。
攻撃者はまた、Microsoft Paint(mspaint.exe)やNotepad(notepad.exe)などのWindows標準ユーティリティを使い、機密データを盗み出す前に文書を調査しています。
脆弱なドライバーを利用してセキュリティツールを無効化
Trend MicroとTalosの両社は、Qilinのアフィリエイトが暗号化ツールを実行する前に、Bring Your Own Vulnerable Driver(BYOVD)攻撃を行い、セキュリティソフトウェアを無効化していることも観測しています。
攻撃者は署名付きだが脆弱なドライバー(eskle.sysなど)を展開し、アンチウイルスやEDRプロセスを終了させ、DLLサイドローディングを利用して追加のカーネルドライバー(rwdrv.sysやhlpdrv.sys)を投入し、さらなるカーネルレベルの権限を獲得しました。
Talosは、攻撃者が「dark-kill」や「HRSword」などのツールを使ってセキュリティソフトウェアを無効化し、悪意ある活動の痕跡を消していることを確認しました。
「Talosは、複数の方法でEDRを無効化しようとする痕跡を観測しました」とCisco Talosは説明しています。
「広く見て、EDRの『uninstall.exe』を直接実行するコマンドや、scコマンドを使ってサービスを停止しようとするコマンドを頻繁に観測しています。同時に、dark-killやHRSwordなどのオープンソースツールを実行している攻撃者も確認されています。」
WSL経由で起動されるLinux暗号化ツール
2023年12月、BleepingComputerは、VMware ESXi仮想マシンやサーバーの暗号化に特化した新しいQilin Linux暗号化ツールについて報じました。
この暗号化ツールのコマンドライン引数には、デバッグモードの有効化、ファイルを暗号化せずにドライランを実行するオプション、仮想マシンやそのスナップショットの暗号化方法をカスタマイズするオプションなどが含まれています。
出典: BleepingComputer
Trend Microの研究者によると、QilinのアフィリエイトはWinSCPを使ってLinux ELF暗号化ツールを侵害したデバイスに転送し、その後Splashtopリモート管理ソフトウェア(SRManager.exe)を通じてWindows上で直接起動していることが確認されています。
Trend Microは当初、この暗号化ツールをクロスプラットフォームと報告していましたが、QilinのLinux暗号化ツールはELF実行ファイルであり[VirusTotal]、Windows上でネイティブに実行することはできず、実行にはWindows Subsystem for Linux(WSL)のようなランタイム環境が必要です。
Trend Microへの追加の質問により、攻撃者が実際にWSLを利用して暗号化ツールを実行していることが明らかになりました。
WSLは、Windows上でLinuxディストリビューションを直接インストール・実行できるWindowsの機能です。インストール後は、デフォルトのディストロのシェルを開くか、wsl.exe -eコマンドを使ってWindowsコマンドプロンプト内でLinuxプログラムを実行できます。
Trend MicroはBleepingComputerに対し、攻撃者がデバイスにアクセスした際、Windows Subsystem for Linuxを有効化またはインストールし、それを使って暗号化ツールを実行することで、従来のWindowsセキュリティソフトウェアを回避していると述べました。
「このケースでは、攻撃者はWindows Subsystem for Linux(WSL)という、Linuxバイナリを仮想マシンを必要とせずにWindows上でネイティブ実行できる組み込み機能を利用することで、Windowsシステム上でLinux暗号化ツールを実行できました」とTrend MicroはBleepingComputerに語りました。
「アクセスを得た後、攻撃者はスクリプトやコマンドラインツールを使ってWSLを有効化またはインストールし、その環境内でLinuxランサムウェアペイロードを展開しました。これにより、Windowsホスト上で直接Linuxベースの暗号化ツールを実行し、従来のWindowsマルウェア検出に特化した多くの防御を回避できました。」
多くのWindows EDR製品はWindows PEの挙動に注目しているため、WSL内で発生する悪意ある挙動を見逃し、マルウェアが検出を回避できてしまいます。
Trend Microは、この手法はランサムウェアオペレーターがWindowsとLinuxのハイブリッド環境に適応し、最大限の影響を与えつつ従来の防御を回避しようとしていることを示していると述べています。
