Dragon Boss Solutions LLCという会社にリンクされた署名付きソフトウェア操作が、世界中の23,000台を超えるエンドポイント上でアンチウイルス製品を静かに無効化していることが報告されています
火曜日にHuntressが発表した調査によると、このキャンペーンは正規のコード署名証明書と既製のアップデートメカニズムを使用して、セキュリティツールを体系的に強制終了、アンインストール、再インストール時にブロックするPowerShellベースのペイロードを配布しました。
Huntress研究者は、2025年3月下旬にアンチウイルス無効化の動作を最初に観察しましたが、基盤となるローダーは2024年下旬からいくつかのホストに存在していました。実行可能ファイルはAdvanced Installerを使用してリモートサーバーをポーリングしてMSIベースのアップデートを取得します。
配信されると、ClockRemoval.ps1という名前のスクリプトがSYSTEMの特権で実行され、Malwarebytes、Kaspersky、McAfee、ESETの製品を対象とします。
攻撃チェーンの仕組み
完全な機能を配布する前に、ペイロードは管理者ステータスをチェックし、仮想マシンを検出し、レジストリでインストール済みのセキュリティ製品をクエリします。
その後、再起動、ログオン、30分間隔での永続性を維持する5つのスケジュール済みタスクとWindows管理計測(WMI)イベントサブスクリプションを確立します。
タイトなポーリングループは、ブート時に20秒間100ミリ秒ごとに一致するAVプロセスを強制終了し、セキュリティツールが初期化される前に終了させます。このスクリプトはレジストリエントリを削除し、ベンダーアンインストーラを静かに実行し、WindowsホストファイルをAVアップデートドメインを0.0.0.0にリダイレクトするように変更します。
Defenderの除外は、後続のペイロードのステージングエリアとして機能しているようなDGoogleやEMicrosoftなどのディレクトリに対して追加されます。
WMIベースのマルウェア永続性についてさらに読む:DeepLoad Malwareが検出を回避するためにClickFixとAIコードを組み合わせる
脅威を高めたのは、操作の設定における主要なアップデートドメインが未登録であることが判明したためです。数ドル費やす意思がある者なら、すべての影響を受けたホストに任意のペイロードをプッシュできた可能性がありました。
シンクホールが世界的な感染範囲を明らかに
Huntressは最初にドメインを登録し、シンクホールを指してそこに向けました。24時間以内に、23,565の一意のIPアドレスが指示をリクエストしました。感染は124か国にまたがり、米国が接続の約54%を占め、続いてフランス、カナダ、英国、ドイツが続きます。
同社は高価値ネットワーク上の324の感染を特定しました。以下を含みます:
-
221の大学および大学
-
41の運用技術ネットワーク(電力会社を含む)
-
35の政府機関
-
3つのヘルスケア組織
CrunchBaseによると、Dragon Boss Solutionsはアラブ首長国連邦のシャルジャに拠点を置いており、「検索収益化研究」を行っていると説明しています。AVベンダーは歴史的にそれらのシグネチャをブラウザハイジャック機能を備えたアドウェアとして分類してきました。
当面のペイロードはAVキラーのままですが、Huntressはアップデートインフラが任意のペイロードタイプを配信できることを警告しました。アンチウイルスが既に無効化されているため、操作はランサムウェア、暗号マイニング、または追加の悪用なしでデータ盗難にピボットできます。
翻訳元: https://www.infosecurity-magazine.com/news/dragon-boss-adware-disables/
