研究者らは、カーネルレベルの回避やゼロデイ悪用の可能性について、ランサムウェア活動の急増とともに警告している。
GuidePoint Securityの脅威リサーチャーは、Akiraのアフィリエイトがこれまで報告されていなかった手法で正規のWindowsドライバーを悪用していることを発見しました。このランサムウェアはSonicWallファイアウォールへの攻撃を強化しています。
GuidePointの脅威インテリジェンスコンサルタントであるJason Bakerによると、Akiraの攻撃者は2つの一般的なWindowsドライバーをカーネルレベルのツールとしてハイジャックし、アンチウイルスやEDRシステムの回避に利用していました。
「SonicWallの悪用を含む初期アクセスの後、Akiraのアフィリエイトが2つの一般的なドライバーをAV/EDR回避の一環として悪用しているのを確認しました」とBakerはブログ投稿で述べています。「この高精度なインジケーターは、積極的な検知や過去の脅威ハンティングに利用できます。」
Bakerのブログは、SonicWallが月曜日に、SSLVPNが有効化されたGen 7 SonicWallファイアウォールに関するサイバーインシデントの顕著な増加を確認した直後に公開されました。
SonicWallは現在、感染経路を調査中であり、顧客に対してSSLVPNの無効化を推奨しました。これは顧客が利用する主要なアクセス手段であることを考えると、簡単な要請ではありません。Tenableの上級スタッフリサーチエンジニアであるSatnam Narangは、その影響について説明しています。「VPNは多くの組織にとって従業員が社内ネットワークへアクセスするために必要不可欠です。そのため、すべての顧客にサービスの無効化を求めるのは現実的ではありませんが、現時点ではこれがこれらのデバイスに対する悪意ある活動を止める唯一の方法です」と彼は述べています。「VPNの無効化に代わる追加のセキュリティ対策リストも有用ですが、組織は自らの被害状況を特定するためにインシデント対応を開始することが強く推奨されます。」
BYOVD攻撃で悪用されるWindowsドライバー
GuidePointによると、2つのWindowsドライバー「rwdrv.sys」と「hlpdrv.sys」が、Bring-your-Own-Vulnerable-Drivers(BYOVD)戦略の一環として攻撃者に悪用されています。rwdrv.sysはThrottleStopのCPUチューニング用、hlpdrv.sysはWindows Defenderの「DisableAntiSpyware」キーの切り替えに使われます。
これらのドライバーはサービスとして登録・実行され、rwdrc.sysは特権をカーネルモードへ昇格するために使われている可能性が高く、これにより悪意のあるhlpdrv.sysが「regedit.exe」を通じてレジストリを変更し、アンチスパイウェア保護を無効化できるようになります。
「この挙動は、最近のAkiraランサムウェアのインシデント対応事例で広く見られるため警告しています」とBakerは述べ、GuidePointが「関連する文字列、条件、インポートに基づいて悪意のあるhlpdrv.sysドライバーの検知を支援するYARAルール」を提供していると付け加えました。
この悪用の痕跡は少なくとも7月15日まで遡ることができ、SonicWallへの攻撃が始まったとされる日です。管理者にはYARAルールとともに、検知設定のための侵害指標(IOC)リストも提供されています。
SonicWall「ゼロデイ」示唆の報告
SonicWallの開示では感染経路は明らかにされておらず、初期アクセスについても現在調査中としていますが、攻撃者がゼロデイバグを悪用している可能性があるという報告が出ています。
「ブルートフォースや辞書攻撃、クレデンシャルスタッフィングによる認証情報取得がすべてのケースで完全に否定されたわけではありませんが、入手可能な証拠はゼロデイ脆弱性の存在を示しています」とArctic Wolfのレポートは述べています。
ランサムウェア活動の増加は7月15日から始まっており、これは2024年10月以降に観測された複数の悪意あるVPNログインとは異なるものでした。その際は、FogやAkiraランサムウェアのアフィリエイトがアクセス制御の脆弱性(CVE-2024-40766)を悪用していました。
Arctic Wolfはゼロデイ悪用の可能性を強調し、「一部のケースでは、完全にパッチが適用されたSonicWallデバイスが認証情報のローテーション後に影響を受けていました」と述べています。また、TOTP MFAが有効化されていたにもかかわらず、一部のアカウントが侵害されたとも付け加えました。
両ケースとも、Arctic Wolfは「初期のSSLVPNアカウントアクセスとランサムウェア暗号化の間に短い間隔が観測された」と確認しています。
SonicWallはCSOのコメント要請に即時回答しませんでしたが、開示の中で「新たな脆弱性が確認された場合、速やかに更新ファームウェアと手順を公開することを約束します」と述べ、ゼロデイ報告に対応しています。今年初め、SonicWallはSSLVPNサービスに影響する高深刻度バグ(CVE-2024-53704)について顧客に通知しており、これはリモート攻撃者による認証回避を可能にするものでした。実用的な範囲でSSLVPNサービスを無効化するほか、ユーザーには信頼できる送信元IPにSSLVPN接続を制限し、ボットネット保護、Geo-IPフィルタリング、その他のセキュリティサービスを有効化し、多要素認証(MFA)を強制し、未使用アカウントを削除することが推奨されています。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。