Makopランサムウェアの概要
Phobosから派生したランサムウェア「Makop」が、公開されたリモートデスクトッププロトコル(RDP)システムを悪用し、アンチウイルス(AV)キラーモジュールや高度な権限昇格エクスプロイトなどの新たな攻撃コンポーネントを統合することで、依然として深刻な脅威をもたらしています。Acronis TRU研究者による最近の調査では、Makopの運用者が複数の回避技術と二次ペイロード配信メカニズムを含む手法を進化させていることが明らかになりました。
攻撃は、脆弱な認証情報を標的としたブルートフォース攻撃によるRDP悪用から始まり、ネットワーク偵察、権限昇格、そして最終的な暗号化へと続く体系的なパターンを踏んでいます。運用者は、セキュリティソリューションが強固であることが判明した場合、攻撃を中止するという現実的なアプローチを示しており、これは影響を最大化しつつ労力を最小限に抑えることに重点を置いていることを示唆しています。
初期アクセスと偵察
Makopの運用者は、主に公開されたRDPサービスを悪用し、ブルートフォース攻撃を通じて脆弱な認証情報や再利用された認証情報を利用して初期アクセスを獲得します。彼らは、大規模なRDPパスワード推測を自動化する2016年の古いハッキングツールであるNLBruteを使用していることが確認されています。
被害者ネットワークに侵入すると、攻撃者はNetScanやAdvanced IP Scannerなどのネットワークスキャンツールを展開し、アクティブなホストを特定し、ラテラルムーブメント活動のためのネットワークインフラをマッピングします。
防御回避テクニック
Makopのツールキットにおける重要な進化は、洗練された防御回避技術です。攻撃者は、Microsoft Defenderの保護を無効化するために、Defender ControlやDisable Defenderを含む複数のアンチウイルスキラーを展開します。また、BYOVD(Bring Your Own Vulnerable Driver)技術を活用し、ThrottleStop.sysやhlpdrv.sysなどの正当な署名付きドライバーを悪用してカーネルレベルのアクセスを獲得し、EDRソリューションをオフにします。
さらに、運用者は地域特有のセキュリティソリューションを標的としたカスタムアンインストールソフトウェアも使用します。カスタマイズされたQuick Heal AVアンインストーラの発見は、Makop攻撃の55%がインドの組織を標的としているというテレメトリーと一致しており、攻撃者が地理的な被害者プロファイルに基づいてツールキットを適応させていることを示唆しています。
権限昇格の多様な手口
Makopの運用者は、古いものから最新のものまで、幅広いローカル権限昇格(LPE)エクスプロイトを網羅した豊富なコレクションを保持しています。最も頻繁に悪用されるCVEには、CVE-2017-0213、CVE-2018-8639、CVE-2021-41379、CVE-2016-0099が含まれます。この多様なエクスプロイトポートフォリオにより、運用者は異なるWindowsバージョン間で権限を昇格させ、個々のエクスプロイトが失敗した場合の冗長性を維持することができます。
ツールの悪用とGuLoaderの統合
攻撃者は、Mimikatz、LaZagne、NetPassなどの認証情報ダンプツールを使用して、被害者システムから平文パスワード、NTLMハッシュ、キャッシュされた認証情報を抽出します。また、Process HackerやIOBitUnlockerといった正当なアプリケーションも悪用しています。これらのツールは、プロセスの終了やプログラムの削除を容易にするために、脅威アクターによって悪用されます。盗まれた認証情報は、ラテラルムーブメントを促進し、組織全体のインフラへの攻撃者のアクセスを拡大します。
注目すべき進展として、AgentTeslaやFormBookなどのマルウェア配信に伝統的に関連付けられてきたダウンローダートロイの木馬であるGuLoaderの統合があります。これは、Makopランサムウェアの配布にGuLoaderが使用された最初の事例であり、より洗練された二次ペイロード配信メカニズムへの進化を示しています。
主な標的と対策
Makop攻撃は、主にインドの組織(55%)を標的としていますが、ブラジル、ドイツ、その他の地域でも事件が報告されています。この分布は、地理的な好みよりも、低いセキュリティ体制を持つネットワークの機会主義的な標的化を反映しており、運用者は脆弱な認証慣行や多要素認証(MFA)の欠如を悪用しています。
組織は、強力な認証メカニズム、多要素認証の実装、既知のLPE脆弱性に対する定期的なパッチ適用を通じて、RDPサービスのセキュリティを優先する必要があります。定期的なネットワーク監視、アプリケーションホワイトリスト、および行動分析は、暗号化が発生する前にMakopの悪用試行を効果的に検出および防止することができます。