Akiraランサムウェアは、正規のIntel CPUチューニングドライバーを悪用し、標的マシン上で実行されているセキュリティツールやEDRからMicrosoft Defenderを無効化しています。
悪用されているドライバーは「rwdrv.sys」(ThrottleStopで使用)で、攻撃者はこれをサービスとして登録し、カーネルレベルのアクセス権を取得します。
このドライバーは、おそらく2つ目のドライバー「hlpdrv.sys」をロードするために使用されており、これはWindows Defenderを操作してその保護機能を無効化する悪意のあるツールです。
これは「脆弱なドライバー持ち込み(BYOVD)」攻撃であり、攻撃者が既知の脆弱性や弱点を持つ正規署名済みドライバーを利用して権限昇格を達成します。このドライバーは、その後Microsoft Defenderを無効化する悪意のあるツールをロードするために使用されます。
「2つ目のドライバーhlpdrv.sysも同様にサービスとして登録されます。実行されると、Windows DefenderのDisableAntiSpyware設定を\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware内で変更します」と研究者らは説明しています。
「このマルウェアはregedit.exeの実行によってこれを実現します。」
この手法はGuidepoint Securityによって観測されており、2025年7月15日以降、Akiraランサムウェア攻撃でrwdrv.sysドライバーの繰り返しの悪用が報告されています。
「この挙動は、最近のAkiraランサムウェアのインシデント対応事例で広く見られるため、警告しています。この高精度なインジケーターは、積極的な検知や過去の脅威ハンティングに利用できます」とレポートは続けています。
防御側がこれらの攻撃を検知・ブロックできるように、Guidepoint Securityはhlpdrv.sys用のYARAルール、両ドライバーの完全な侵害指標(IoC)、サービス名、ドロップされるファイルパスを提供しています。
AkiraによるSonicWall SSLVPNへの攻撃
Akiraランサムウェアは、未知の脆弱性を利用したとされるSonicWall VPNへの攻撃にも最近関与しているとされています。
Guidepoint Securityによると、Akiraランサムウェアの運用者がSonicWall VPNのゼロデイ脆弱性を悪用しているかどうかは確認も否定もできなかったといいます。
攻撃活動の増加に関する報告を受けて、SonicWallは、SSLVPNの無効化または制限、多要素認証(MFA)の強制、Botnet/Geo-IP保護の有効化、未使用アカウントの削除を推奨しました。
一方で、The DFIR Reportは、最近のAkiraランサムウェア攻撃の分析を公開し、ITソフトウェアツールのトロイの木馬化されたMSIインストーラーを介して配布されるBumblebeeマルウェアローダーの使用に注目しています。
一例として、「ManageEngine OpManager」をBingで検索した際、SEOポイズニングにより被害者が悪意のあるサイトopmanager[.]proにリダイレクトされました。
.jpg)
出典: The DFIR Report
BumblebeeはDLLサイドローディングによって起動され、C2通信が確立されると、永続的なアクセスのためにAdaptixC2がドロップされます。
攻撃者はその後、内部偵察を行い、特権アカウントを作成し、FileZillaを使ってデータを流出させ、RustDeskやSSHトンネル経由でアクセスを維持します。
約44時間後、メインのAkiraランサムウェアペイロード(locker.exe)が展開され、ドメイン全体のシステムが暗号化されます。
SonicWall VPNの状況が解決するまで、システム管理者はAkira関連の活動を監視し、セキュリティ調査から得られるインジケーターに基づいてフィルタリングやブロックを適用するべきです。
また、ソフトウェアは公式サイトやミラーサイトからのみダウンロードすることが強く推奨されます。なりすましサイトがマルウェアの一般的な供給源となっているためです。
