出典: B Christopher / Alamy Stock Photo
ランサムウェア・アズ・ア・サービス(RaaS)には馴染みがあるかもしれないが、現在は「パッカー・アズ・ア・サービス」も存在する。
セキュリティベンダーのSophosは12月6日、「Shanya」と呼ばれるパッカー・アズ・ア・サービスのファミリーに関する調査結果を公開した。これはランサムウェアを強化し、アンチマルウェアソフトウェアの検知を回避できるようにするものだ。ランサムウェア・アズ・ア・サービスが、通常なら自力で作成できないような恐喝用マルウェアを低レベルの攻撃者に提供するのに対し、パッカー・アズ・ア・サービス(PaaS)は既存のランサムウェアを包み込むシェルを提供し、追加の難読化レイヤーとして機能する。
Shanyaは、過去1年間で現代のランサムウェア・エコシステムにしっかりと食い込んできたPaaSオペレーション「HeartCrypt」が切り開いた道をなぞる存在だ。SophosのGabor Szappanos氏とSteeve Gaudreault氏は、Shanyaは「すでにランサムウェアグループに好まれており、ある程度は、ランサムウェアのツールキットにおいてHeartCryptが担ってきた役割を引き継ぎつつある」と述べている。
Sophosによると、2025年を通じて4つの半球すべてでShanyaの使用が確認されており、国によって頻度に差はあるものの、最も多かったのはチュニジアで、そのすぐ後にUAEが続いたという。
Shanya:EDRキラー
SophosはShanyaを主に、マルウェアが目的地に到達するための道を切り開くエンドポイント検出・応答(EDR)キラーとして説明している。
EDRキラーとして、ペイロードはクリーンなドライバーと、悪意のある未署名のカーネルドライバーをターゲット環境にドロップする。正規プログラムに関連付けられたクリーンドライバーは、アラームを発生させないようにロードされる一方で、悪意のあるドライバーはこのクリーンドライバーを悪用し、書き込みアクセスを得る。これにより、悪意のあるドライバーは、セキュリティ製品に関連するさまざまなプロセスやサービスを終了・削除の対象とすることが可能になる。
Sophosは、この機能がAkira、Medusa、Qilin、Crytoxなど複数のギャングによって使用されていることを確認している。また、Booking.comをテーマにしたClickFix攻撃の一部としても利用されており、CastleRATを展開するために類似したDLLサイドローディング手法が用いられている。
EDRキラーへの対抗策
Szappanos氏とGaudreault氏によれば、この種のマルウェアが消えることは当面なさそうだ。
「パッカー・アズ・ア・サービスのオファリングとEDRキラーは、今後しばらくの間、私たちと共にあり続けるでしょう」とブログ投稿には記されている。「この2つの組み合わせはランサムウェアグループに非常に人気があります。需要と金銭的な動機がある以上、この種のマルウェアが近いうちに姿を消すとは期待できませんし、将来的にはさらに進化したバージョンを目にすることになるのは間違いありません。」
Sophosのブログ投稿には、侵害の痕跡(GitHub経由)に加え、Sophos製品内での防御機能も含まれている。
PaaSマルウェアは、ランサムウェア・アズ・ア・サービスのエコシステムにとって厄介な強化要素ではあるものの、一般的なランサムウェア対策の衛生管理が依然として有効であることを忘れてはならない。信頼できるEDR製品を使用し、IOCを活用し、前述のClickFixのようなソーシャルエンジニアリング手口を回避するようユーザーを教育し、パッチを最新に保つことが重要だ。
Dark Readingは、追加コメントを求めてSophosに取材を申し込んでいる。
