攻撃者が正規のWindowsツールとリネーム済みバックアップユーティリティを使用して、INCランサムウェアを配展する前に静かに機密データをステージングして流出させたランサムウェア侵害。
このインシデントは、脅威アクターが検出を回避し、侵害された環境内で動作するために、ますます「Living off the Land」技術に依存しているかを強調しています。
調査官は後に、脅威アクターが少なくとも1日前の2月24日にネットワークへのアクセスを獲得したと判断しました。
組織は、インフラストラクチャ全体に完全に配展されたエンドポイント検出エージェントを持たず、セキュリティ情報およびイベント管理(SIEM)システムを使用していませんでした。
攻撃は2026年2月25日に識別されました。HuntressのSOCアナリストが顧客環境内のINCランサムウェアの配展を検出したときです。
これらの制限は、初期の攻撃者活動の可視性を大幅に低下させ、アナリストが初期アクセスベクトルを決定することを困難にしました。
しかし、侵害されたエンドポイントのフォレンジック分析は、ランサムウェア実行に至るまでの明確なイベントチェーンを明らかにしました。
PsExecを使用した権限昇格
ネットワーク内に入ると、攻撃者はネットワーク共有をシステムのF:\ドライブとしてマップしました。その後、正規のMicrosoftのPsExecユーティリティを実行して、権限を昇格させ、コマンドをリモート実行しました。
その直後、攻撃者は「Recovery Diagnostics」という名前のスケジュール済みタスクを作成しました。タスクはPowerShellスクリプトを実行するように構成されました。位置は:
C:\Users\Public\Documents\new.ps1
スケジュール済みタスクはWindows schtasks.exeユーティリティを使用してSYSTEM権限で実行され、スケジュール済み時間にスクリプトをトリガーしました。
この技術により、攻撃者は侵害されたシステムでの永続化を維持しながら、昇格された権限でコマンドを実行することができました。
タスク作成後、攻撃者はBase64エンコードされたPowerShellコマンドを実行しました。デコードされると、スクリプトは攻撃者がクラウドバックアップツールに関連付けられた環境変数を構成していることを明らかにしました。
スクリプトには以下のような認証情報が含まれていました:
- AWSアクセスキーとシークレットキー。
- Wasabi S3ストレージでホストされているリポジトリパス。
- バックアップパスワード。
- バックアップユーティリティを初期化して実行するコマンド。
注目すべき詳細の1つは、スクリプト内のパスワード値が難読化されておらず、平文で直接表示されていたことです。
調査官は、攻撃者がクラウドバックアップに一般的に使用される正規のオープンソースバックアップツールであるresticのリネーム済みコピーを使用していたことを発見しました。
実行ファイルはwinupdate.exeに名前が変更され、Windowsシステムディレクトリに配置されました。正規に見えるようにするためです。
攻撃者はまずリポジトリを初期化し、その後、以下の場所にあるファイルリストを使用してバックアップを実行するようにツールに指示する2番目のコマンドを実行しました:
C:\Users\Public\Documents\new.txt。
Huntressアナリストはシステムがオフラインになる前にファイルを回復することはできませんでしたが、流出対象のファイルのリストが含まれている可能性があります。これは、攻撃者が環境内の貴重なデータの場所についての事前知識を持っていたことを示唆しています。
ランサムウェアの配展
2月25日に、攻撃者は戻ってきてセキュリティ保護をオフにし始めました。脅威アクターはedr.exeというラベルのプログラムを実行し、VIPRE Business Agentアンインストールユーティリティを使用してエンドポイント保護ソフトウェアを削除しました。
Windowsイベントログは、VIPREセキュリティ製品が無効化およびアンインストールされたことを示しました。その直後、攻撃者はMicrosoft Defenderのリアルタイム保護もオフにしました。
防御が削除されたため、攻撃者は以下からINCランサムウェアペイロードを起動しました:
c:\perflogs\win.exe –sup –hide –mode medium
攻撃はシステム全体にINC-README.txtというタイトルの身代金メモを生成しました。イベントログはRestartManager API活動の急増も示しており、ランサムウェアファミリは暗号化前にファイルをロックしているプロセスを終了するためによくこれを使用します。
Huntressアナリストは2月9日に、攻撃者が同じresticベースの流出方法と同じクラウド認証情報を使用したほぼ同じインシデントを報告しました。
その場合、攻撃者はさらなるアクションが発生する前にAcronis セキュリティサービスを無効にするためにHRSwordユーティリティを使用しました。
研究者はまた、Cyber Centaursチームが2026年1月に同様のアクティビティを文書化したことに注目し、この技術はINCランサムウェアオペレーターにリンクされたより広いオペレーショナルパターンの一部である可能性があることを示しています。
これらの発見は、攻撃者がランサムウェア攻撃を起動する前に機密データを静かに抽出するために、正規の管理ツール、PowerShellオートメーション、およびバックアップユーティリティをどのように混在させているかを示しています。
セキュリティチームは、異常なPowerShellアクティビティ、スケジュール済みタスク、および進行中のデータ流出を示す可能性のある予期しないバックアップ操作を密接に監視することをお勧めします。
翻訳元: https://gbhackers.com/inc-ransomware-attack/
