Black Basta、ランサムウェアのペイロードにBYOVDを同梱

出典：Peachaya Tanomsup（Alamy Stock Photo）

悪名高いBlack Bastaランサムウェア・ギャングが、新たなツールを武器に再浮上した。

木曜日に公開されたレポートで、SymantecおよびCarbon BlackのThreat Hunter Teamは、最近の攻撃の詳細を報告した。そこには興味深い進展があった。脆弱なドライバーがBlack Bastaのランサムウェア・ペイロードに直接埋め込まれていたのだ。

近年、ランサムウェア・ギャングはbring your own vulnerable driver（BYOVD）として知られる手法をますます利用している。BYOVD攻撃では、脅威アクターが脆弱なソフトウェア・ドライバー（高い権限とWindowsへのカーネルレベルのアクセスを持つ）を用いて、標的システムのセキュリティ・プロセスを停止させる。これらのドライバーは、EDRキラーとして知られる回避ツールの重要な要素であり、ランサムウェア攻撃者による侵入を支援するうえで非常に効果的であることが示されている。

EDRプラットフォームはしばしばランサムウェア攻撃の試みをブロックするが、脆弱なドライバーを使う脅威アクターは、特定のセキュリティ製品を狙って、侵入前に家庭用防犯システムを無効化する泥棒のようにそれらを停止させられる。これにより組織は、侵入前にEDRプラットフォームが無効化される可能性を考慮した追加防御の実装を迫られる。たとえば、EDRキラーがそれら特定のプロセスを終了するようにプログラムされていないことを期待して、複数のマルウェア検知製品を併用するといった対策が考えられる。

通常、EDRキラーは単体のツールであり、しばしば公開されていて、脅威アクターがランサムウェア・ペイロードを投下する前に展開する。たとえば、ランサムウェアのアフィリエイトは、標的システムにランサムウェアやバックドアを展開する前にセキュリティ製品を停止させるため、「AuKill」として知られるEDRキラーを使用してきた。

しかしBlack Bastaは、注目を集めたギャング内部の通信の漏えい以降、この1年ほど比較的沈黙していたものの、異なるアプローチを取った。

埋め込み型BYOVD攻撃の潜在的な利点

Threat Hunter Teamは、Black Bastaランサムウェアに同梱されていた脆弱なドライバー「NsecSoft NSecKrnl」を発見した。先月、NSecKrnlのWindowsドライバーにおける中程度の深刻度の脆弱性が、CVE-2025-68947として開示された。

Black Bastaがいつからこの脆弱なドライバーを武器化し、ランサムウェア・ペイロードに埋め込み始めたのかは不明だが、レポートは、ランサムウェア・ギャングとしては初の事例だと述べている。これはBYOVDの人気が高まっていることを示す最新の例でもある。

「過去2年間で、ランサムウェア攻撃者の間で機能阻害の手法やツールの使用が著しく増加している。これはおそらく、ランサムウェア展開前に発生する悪意ある活動のパターンを識別する能力がベンダー側で向上したことへの対応だろう」と、同レポートは述べている。

ほぼすべてのEDRキラーと同様に、NSecKrnlドライバーはSymantecを含む著名ベンダーのプロセスを標的にする。ただし今回の攻撃は、ある程度失敗したようだ。

「いくつかのファイルを暗号化できたので、攻撃が少なくとも部分的には成功したことは分かっています」と、SymantecおよびCarbon Black Threat Hunter Teamの主任インテリジェンス・アナリストであるDick O’Brien氏は言う。「攻撃後も当社製品が動作し続けたため、当社製品の停止には失敗したようです」

Black Bastaがドライバーとランサムウェア・ペイロードを一緒に同梱した理由について、Threat Hunter Teamは、2つではなく1つの結合ファイルを落とす方が「静か」で、検知される可能性を下げられるためかもしれないと述べた。

「また、防御回避ツールの展開とランサムウェアの投下の間にギャップがなければ攻撃が加速する可能性があり、防御側が攻撃を止める機会がなくなる」とThreat Hunter Teamは記している。「別のシナリオでは、防御側がシステム上に不審なドライバーが投下されたのを確認できれば、ランサムウェアが展開される前に攻撃を止める時間が得られる可能性がある」

脆弱なドライバーをめぐる継続的な課題

Threat Hunter Teamは、BYOVDがランサムウェア攻撃者に最も一般的に使われる回避ツールであることは疑いないと指摘した。ランサムウェア・ギャングが何らかの回避コンポーネントをペイロードに埋め込んだ孤立した事例はあるものの、研究者らは、Black Bastaがこれまでランサムウェアにドライバーを同梱したことがなかったため、こうした提供形態が脅威アクターの間でより一般化する可能性があると述べた。

「ランサムウェア・ペイロードに追加機能が同梱されていると、必要な手順が減るためランサムウェア攻撃の実行が容易になり、結果としてアフィリエイトにとってより魅力的なペイロードになり得る」とThreat Hunter Teamは記している。

Black Bastaの攻撃は、脆弱で古いドライバーがもたらす危険性の最新例でもある。先週、Huntressの研究者は、攻撃者がEnCaseデジタル・フォレンジック・スイート向けのドライバーを武器化した事案を詳述した。そのドライバーの証明書は10年以上前に失効していたにもかかわらず、脅威アクターはMicrosoftのDriver Signature Enforcement機能の隙を突くことができた。

O’Brien氏はDark Readingに対し、SymantecおよびCarbon Black製品は既知の脆弱なドライバーをすべてブロックすると語った。Windows Defenderのセキュリティ機能であるMicrosoftのVulnerable Driver Blocklistも、悪意ある活動で使用されたと特定されたドライバーを識別し、緩和する。しかし、多くの専門家が指摘しているように、ブロックリストは事後対応型の防御策であり、脆弱なドライバーが攻撃で使用された後にしか、その後の活動を防げない。

O’Brien氏は、ドライバー悪用の増加に対処するためにMicrosoftはさらに踏み込む必要があると述べる。特に、ドライバーはしばしばソフトウェア大手自身によって署名されているためだという。失効した証明書を持つドライバーをWindowsが読み込まないようにすることは重要な一歩になり得るが、研究者が過去に指摘してきたように、そのような措置はシステム性能に悪影響を与え、アプリケーションのクラッシュを引き起こす可能性があるとも述べた。

Dark ReadingはMicrosoftにコメントを求めたが、記事掲載時点で同社からの回答はなかった。