Cephalusランサムウェアは2025年半ば以降、脆弱なリモートデスクトッププロトコル(RDP)アクセスを通じてWindowsシステムを標的とする強力な脅威として出現しました。
このGo言語ベースのマルウェアは、高度な回避戦術と二重恐喝を採用し、支払いを要求する前にデータを窃取して暗号化します。
攻撃者は、多要素認証(MFA)のない盗難されたRDP認証情報を悪用して侵入します。これは多くのネットワークに共通する弱点です。
侵入後、攻撃者はMEGAクラウドストレージサービス経由でデータを流出させ、正規のSentinelOne実行ファイルSentinelBrowserNativeHost.exeを使用したDLLサイドローディングによってペイロードを展開します。この実行ファイルは悪意のあるSentinelAgentCore.dllとdata.binを読み込みます。
このランサムウェアはハイブリッド暗号化を使用します。ファイルにはAES-256-CTR、AES鍵の保護にはRSA-1024を使用し、攻撃者のみがファイルを復号化できるようにします。
アナリストを欺くために「FAKE_AES_KEY_FOR_CONFUSION_ONLY!」のような偽のAES鍵を100回繰り返し生成し、メモリダンプでの検出を回避するためにVirtualLockとXORマスキングによる安全なメモリ処理を併用します。
Cephalusは実行と永続化から始まる構造化されたキルチェーンに従います。VirtualAllocとVirtualProtect API(T1055)を介して正規プロセスにコードを注入し、再起動後の生存のためにschtasksでスケジュールタスクを作成します(T1053.005)。
探索フェーズでは、GetSystemInfo、RtlGetVersion、GetComputerNameExW、GetUserNameW、GetEnvironmentStrings、プロセス用のToolhelp32Snapshot(T1082、T1033、T1057)などのAPIを使用して情報を収集します。これにより攻撃をカスタマイズし、サンドボックスを回避します。
防御回避はWindows Defenderを積極的に標的とします。PowerShellコマンドはプロセス(svchost.exe)、パス(C:\Windows\Temp)、拡張子(.cache、.tmp)の除外を追加します。reg.exeによるレジストリ編集はリアルタイム保護を無効化します(DisableRealtimeMonitoring、DisableAntiSpyware)。WinDefendやSenseなどのサービスは停止され無効化されます。
影響段階では、vssadmin(T1490)でボリュームシャドウコピーを削除し、ネットワークアダプタ(GetAdaptersInfo、T1016)とドライブ(DeviceIoControl、T1082)を検出し、ファイルを列挙(FindFirstFileW/FindNextFileW、T1083)してから、一致する拡張子を持つファイルをその場で暗号化します(T1486)。
ランサムノート「recover.txt」には、圧力をかけるためにGoFile.ioへの窃取証明リンクと過去の被害者に関する記事が含まれています。
AttackIQは、Huntress(2025年8月)とAhnLab(2025年12月)のレポート、および内部分析に基づいて、CephalusのTTPを再現する2026年エミュレーショングラフをリリースしました。これはAEVプラットフォームで実行、回避、探索、影響の各制御をテストし、日和見的ランサムウェアに対する検出を検証するのに役立ちます。
防御するには、RDPでMFAを強制し、DownloadsフォルダでのDLLサイドローディングを監視し、MEGAの悪用をブロックし、グループポリシーでDefenderを強化します。HuntressのIOCには、SHA256 a34acd47127196ab867d572c2c6cf2fcccffa3a7a87e82d338a8efed898ca722、.sss拡張子、疑わしいPowerShell/reg.exeチェーンが含まれます。
翻訳元: https://cyberpress.org/cephalus-hits-exposed-rdp/