概要
ランサムウェア攻撃者が、エンドポイント防御を無力化するために、2,500種類以上もの正規のセキュリティドライバの亜種を悪用する巧妙なキャンペーンを展開しています。これは、セキュリティ製品がシステムを保護するために設計されたドライバが、皮肉にもセキュリティ機能を停止させる主要な武器として利用されていることを示しています。
悪用された脆弱性
この攻撃では、Adlice SoftwareのRogueKillerアンチウイルススイートに含まれるカーネルモードドライバ「truesight.sys(バージョン2.0.2)」が悪用されています。この古いバージョンには重大な脆弱性が存在し、IOCTLコマンド「0x22E044」を介して任意のプロセスを終了させることが可能です。これにより、通常はユーザーモードでの終了に耐性を持つ保護されたセキュリティソフトウェアでさえも、強制的に停止させることができます。
巧妙な回避技術
Check Point Researchによる調査で、攻撃者はWindowsのドライバ署名ポリシーの抜け穴を悪用していることが明らかになりました。彼らはドライバのPE構造を操作しながらも、有効なデジタル署名を維持しています。これにより、何千ものユニークな亜種が生成され、従来のハッシュベースの検出を回避しています。VirusTotalでの検出率はわずか2〜7%に留まっていると報告されています。
攻撃の連鎖
この多段階攻撃は、以下のような手法で開始されます。
- フィッシングメール
- 偽のソフトウェアウェブサイト
- 侵害されたTelegramチャンネル
- ウォーリングホール攻撃
感染は3つのステージを経て進行します。
- ステージ1: 正規のインストーラを装ったダウンローダが初期アクセスを確立します。
- ステージ2: スケジュールされたタスクとDLLサイドローディングを介して永続性を確立します。
- ステージ3: EDR(Endpoint Detection and Response)キラーモジュールと最終ペイロードが展開されます。
EDRキラーモジュールの脅威
EDRキラーモジュールは、VMProtectによって保護されており、CrowdStrike Falcon、SentinelOne、Sophos、Trend Micro、Kaspersky、ESETなど、192ものセキュリティ製品を標的とします。このモジュールは、TruSightドライバがシステムに存在しない場合、これをダウンロードして「TCLService」としてインストールします。その後、標的となるすべてのプロセスに終了コマンドを送信し、ディスクからセキュリティソフトウェアを削除し、最終ペイロードを展開します。この一連のプロセスはわずか30分で完了し、防御側の可視性をゼロにします。
影響と対策
Check Pointは、この主要なキャンペーンを、2024年6月から活動している金銭目的の中国系脅威アクター「Silver Fox」に起因するものと分析しています。この技術は、RansomHub、Qilin、INC、BlackCatなどのランサムウェアグループやAPTグループにも拡散しています。被害者の約75%は中国本土に集中しており、最終的なペイロードは、完全なリモート制御、キーロギング、スクリーンキャプチャ、データ窃取、監視機能を提供するGh0st RATの亜種「HiddenGh0st」です。
このような脅威に対処するため、組織は以下の対策を直ちに講じる必要があります。
- Microsoftの脆弱なドライバブロックリストを直ちに更新する(2024年12月17日のアップデートでTruesight 2.0.2がブロックリストに追加)。
- HVCI(Hypervisor-Protected Code Integrity)を有効にする。
- アプリケーション制御ポリシーを実装する。
- 疑わしいドライバのインストールを監視する。
本キャンペーンは、リアクティブなハッシュベースの検出がポリモーフィックな脅威には対応できないことを示しており、プロアクティブなドライバ悪用監視が不可欠であると強調されています。