DeadLockランサムウェアを展開する金銭目的の脅威アクターに関連する新たな戦術セットが、サイバーセキュリティ研究者によって観測された。
本日公開されたCisco TalosによるBring Your Own Vulnerable Driver(BYOVD)手法に関する最新分析によると、このキャンペーンではエンドポイント検出ツールを無効化し、システム全体の侵害への道を開くために同手法が用いられた。
このアクターは、権限昇格スクリプト、レジストリ変更、リモートアクセスツール(RAT)、およびカスタム暗号化ルーチンを組み合わせて、システムの安定性を保ちながら業務運用を妨害した。
BYOVD攻撃によるセキュリティ回避
Talosは、攻撃者がBaidu Antivirusドライバーの脆弱性(CVE-2024-51324として追跡)を悪用し、セキュリティプロセスを終了させたと報告した。
カスタムローダーが脆弱なドライバーを起動し、標的となるエンドポイント検出サービスを特定したうえで、カーネルレベルのコマンドを発行してそれらを強制終了した。その後、PowerShellスクリプトが権限を昇格させ、セキュリティおよびバックアップサービスを停止し、すべてのシャドウコピーを削除して復旧経路を断った。
このアクターは、偵察およびラテラルムーブメント(横移動)のための複数のコマンドも展開し、リモートデスクトッププロトコル(RDP)接続およびステルス性の高いAnyDeskインストールを通じてリモートアクセスを可能にした。
RATについてさらに読む: 忘れ去られたリモートアクセスツールがいかに組織を危険にさらしているか
Talosによると、DeadLockのペイロードは2025年7月にコンパイルされ、C++で記述されていた。実行されると、まず環境をセットアップするための埋め込みバッチスクリプトをドロップし、その後プロセスホローイングを用いてrundll32.exeに自身をインジェクトした。
その設定データは8888バイトに及び、タイミングパラメータ、除外リスト、サービスおよびプロセスのキルリスト、そして身代金メモを定義していた。
特筆すべき点として、このランサムウェアはカスタムのストリーム暗号を用いてファイルを暗号化した。時間ベースの鍵を生成し、ファイル内容をメモリ上で処理したうえで、暗号化されたファイルに「.dlock」 拡張子を付与した。さらに、暗号化を開始する前におよそ50秒待機することで、サンドボックス検知を回避しようとした。
システムへの影響とセキュリティ上の助言
DeadLock感染は、データベース、バックアップソフトウェア、エンドポイント保護スイートなど、幅広いアプリケーションやサービスを標的とした。一方で、身代金交渉のためにマシンを動作可能な状態に保つべく、コアとなるWindowsディレクトリや重要なシステムファイルは意図的に回避した。
Talosは、ランサムウェアが暗号化されたファイルのアイコンを置き換え、壁紙を変更し、コマンドラインツールを無効化していたことも突き止めた。
「身代金メモには、BitcoinまたはMoneroでの身代金支払いの受け入れ、およびファイル名の変更や第三者による復号試行に対する警告も記載されている」と、Talosは記している。
被害者は、「軍事レベルの暗号化」をうたう詳細な身代金メモを受け取り、6ステップの復旧プロセスと、BitcoinまたはMoneroによる支払い方法が説明された。連絡手段はSession Messengerのみに限定されていた。
「Sessionは、エンドツーエンド暗号化(E2EE)と匿名性の機能を活用し、法執行機関の監視を回避しつつ、セッションIDを通じて被害者との連絡を維持するための主要なコミュニケーションプラットフォームとして利用されていた」とCisco Talosは説明した。
同様の脅威に対抗するため、セキュリティ専門家は強力なエンドポイント保護の維持、多要素認証(MFA)の徹底、および定期的なオフラインバックアップの実施を推奨している。
翻訳元: https://www.infosecurity-magazine.com/news/deadlock-ransomware-uses-byovd/
