Rob Wright、シニアニュースディレクター、Dark Reading
2025年9月11日
読了時間:4分
出典:Collection Christophel via Alamy Stock Photo
新たに登場したランサムウェアオペレーションが、脆弱なドライバーやその他の手法を用いて企業向けセキュリティ製品を回避しています。
今週初めに公開されたブログ記事で、トレンドマイクロの研究者は、今夏初めて観測されたThe Gentlemenランサムウェア集団の戦術・技術・手順(TTPs)について詳述しました。研究者たちは、このランサムウェアがどのように検知を回避し、標的ネットワーク内のセキュリティ製品を効果的に停止させるかを調査しました。
具体的には、トレンドマイクロはこのランサムウェアが、正規の脆弱なドライバーThrottleStop.sysを武器化し、アンチウイルス(AV)プログラムや拡張検知・対応(EDR)プラットフォームなどのセキュリティ製品のプロセスを停止させていることを発見しました。これは、BYOVD(Bring Your Own Vulnerable Driver)攻撃と呼ばれる手法で、攻撃者がドライバーのカーネルレベルのアクセス権を利用し、通常は保護されているプロセスを操作・終了させるものです。
BYOVD攻撃は、過去1年で複数のランサムウェア集団により増加傾向で使用されています。そのため、最新の新興グループがこの手法を利用して検知製品を回避するのは驚くことではありません。しかし、トレンドマイクロの研究者によれば、注目すべきはThe Gentlemenがこれらの戦術をどのように使っているかであり、機会的な攻撃から、特定のサイバーセキュリティベンダーを標的としたカスタマイズされたバイパスツールへと進化している点です。
「この脅威アクターは、企業環境への体系的な侵害を通じて高度な能力を示し、脅威の状況下で急速に存在感を確立しました」と研究チームはブログ記事で述べています。「キャンペーン中にツールを適応させ、汎用的な[アンチウイルス]ユーティリティから高度にターゲット化された特定のバリアントへと移行することで、攻撃者は柔軟性と決意を示しており、組織のセキュリティ防御に関係なく重大な脅威となっています。」
サイバーセキュリティ製品の抑制
The Gentlemenの回避手法の核心は、ThrottleStopという無料ツールに存在するCVE-2025-7771という高深刻度のコード実行および権限昇格の脆弱性です。この脆弱性は、カスペルスキー研究所の研究者によって発見されました。彼らがブラジルでの最近のランサムウェアインシデントを調査していた際、ドライバーがThrottleBlood.sysと改名され、標的システムの防御を無効化するために使用されていました。
この攻撃で使用されたランサムウェアの種類は不明です。Dark Readingはカスペルスキーに問い合わせましたが、記事執筆時点で同社からの回答はありませんでした。
トレンドマイクロの研究者によれば、The Gentlemenは当初、ThrottleBlood.sysとAll.exeというアーティファクトを同時に展開していました。All.exeはAVキラーであり(カスペルスキーの研究者もインシデント対応調査でAll.exeを確認しています)。研究チームによると、ランサムウェアがAVキラーを実行すると、ThrottleBlood.sysファイルを検索します(ファイル名の依存関係はツールにハードコーディングされています)。
「もしアンチAVが期待される場所に『ThrottleBlood.sys』を見つけられなければ、攻撃は失敗し、ツールは悪意ある操作を続行できません」と研究チームはメールで述べています。「しかし、アンチAVがThrottleBlood.sysを正常に見つけてロードした場合、ドライバーの脆弱性をカーネルレベルで悪用する能力を得ます。これにより、悪意あるツールはセキュリティソフトウェアのプロセスを終了させ、保護サービスを無効化し、ランサムウェアが妨害なくファイルを暗号化できるようになります。」
正規かつ署名付きドライバーの使用は、企業の防御にとって問題となります。研究チームによれば、ThrottleBlood.sysと元のThrottleStop.sysドライバーは全く同じファイルであり、DigiCertによる同じデジタル証明書が使われています。そのため、Windowsのドライバー署名検証は両者を同一の正規ドライバーとみなしてしまい、ファイル名が異なっていても役に立ちません。
戦術の転換
The Gentlemenは、広範囲を狙うのではなく、標的組織のエンドポイント防御の詳細な偵察を行い、セキュリティ製品を回避するためによりカスタマイズされたアプローチを取るように転換しています。攻撃者はまた、PowerRun.exeという正規ツールも利用しており、これは脅威アクターによって権限昇格や高権限操作の実行、セキュリティ製品の無効化やバイパスに悪用されることが多いものです。
「このフェーズを通じて、グループは特定のセキュリティソリューションに合わせて手法を適応させ、汎用的なバイパス手法だけに頼らないターゲット型アプローチを示しました」とブログ記事は述べています。
この集団はまた、Allpatch2.exeというAVキラーのカスタマイズ版も採用しており、関連プロセスを終了させることで主要なセキュリティエージェントコンポーネントを停止させます。「被害者環境の防御に基づいて回避戦略を修正できる能力は、高度な洗練性と適応力を示しています」と研究者はブログ記事で述べています。
The Gentlemenへの対策として、トレンドマイクロはゼロトラスト制御の導入を推奨しています。なぜなら、このランサムウェア集団は脆弱なインターネット公開インフラやVPNを攻撃に悪用しているためです。ThrottleBlood.sysは正規ドライバーであるため、研究チームはAll.exeやAllpatch2.exeの検出に注力すべきだと述べています。これらは攻撃者によって容易にリネームされる可能性があると警告しています。
また、研究チームは、ドライバーが未知または不審な実行ファイルとともにロードされるなど、異常なプロセスの組み合わせを監視することが重要であり、ファイル名だけでドライバーをブロックしようとするのは避けるべきだとしています。