概要:進化する攻撃手法
Agendaランサムウェアグループは、従来のエンドポイントセキュリティ制御を回避するため、Windowsシステム上でLinuxランサムウェアの亜種を直接展開するという高度な攻撃手法を開発しました。これはランサムウェアの展開戦略における重要な戦術的進化を示しています。
Trend Micro Researchが明らかにしたこの高度な攻撃キャンペーンは、特にVMwareインフラストラクチャとバックアップシステムを標的としており、正規のリモート管理ツールと「脆弱なドライバー持ち込み(BYOVD)」技術を組み合わせて、検出を回避し、ハイブリッドな企業環境を暗号化します。この異例のアプローチは、リモート管理チャネルを介して実行されるLinuxバイナリではなく、ネイティブなWindows実行可能ファイルを主に監視するように構成されているほとんどのエンドポイント検出システムを迂回します。
攻撃チェーンと悪用される正規ツール
攻撃チェーンは、Cloudflare R2ストレージインフラストラクチャでホストされている偽のCAPTCHAページから始まり、認証情報や認証トークンを収集するための情報窃取型マルウェアを配信します。ネットワークに侵入後、攻撃者はATERA NetworksのRMMプラットフォームを介したAnyDeskや、コマンド実行のためのScreenConnectなど、複数のリモート管理ツールをインストールし、セキュリティ監視システムには正規に見える冗長なアクセスチャネルを作成します。信頼されたITツールの戦略的な悪用により、脅威アクターは悪意のある活動を通常の管理操作に紛れ込ませました。
バックアップインフラストラクチャの体系的な標的化
このキャンペーンの決定的な特徴は、ランサムウェアを展開する前に災害復旧機能を侵害するために、Veeamバックアップシステムを意図的に標的としたことです。攻撃者はBase64エンコードされたペイロードを含むPowerShellスクリプトを実行し、複数のVeeamバックアップデータベースから保存された認証情報を体系的に抽出し、復号しました。
これらのデータベースには、企業インフラストラクチャ全体のドメインコントローラー、Exchangeサーバー、SQLデータベース、ファイルサーバーの認証情報が含まれていました。バックアップシステムから認証情報を収集することで、Agendaグループはリモートシステムへの包括的なアクセスを獲得すると同時に、組織がランサムウェア攻撃から復旧する能力を侵害しました。
脅威アクターは、以下の特定のデータベーステーブルを照会し、ドメイン管理者アカウント、サービスアカウント、ローカル管理者認証情報を収集しました。
- Credentials
- BackupRepositories
- WinServers
検出回避技術とクロスプラットフォームペイロード
攻撃者は、セキュリティソリューションを無効にし、検出メカニズムを回避するために複数の脆弱なドライバーを展開しました。分析により、北京を拠点とするゲーム技術企業によってデジタル署名されたドライバー「eskle.sys」の使用が明らかになりました。これはゲームチート開発ツールから脅威アクターによって一般的に再利用されています。このドライバーは、カーネルレベルのアクセスを提供し、セキュリティプロセスを終了させ、仮想マシン環境を検出し、アンチデバッグ対策を実装します。
追加のBYOVDツールには「msimg32.dll」が含まれており、DLLサイドローディング技術を使用して、以前Akiraランサムウェアキャンペーンで文書化された「rwdrv.sys」と「hlpdrv.sys」ドライバーをドロップしました。これらのドライバーは、エンドポイント検出および応答ソリューションをカーネルレベルで終了させることが可能でした。
攻撃者はまた、Veeam、VMware、Adobeなどの正規の企業ソフトウェアのディレクトリ内に偽装された複数のSOCKSプロキシインスタンスを展開し、通常のアプリケーション通信内に悪意のあるトラフィックを隠蔽する分散型コマンド&コントロールチャネルを作成しました。
世界的な影響と被害者の傾向
Agendaは、2025年に最も活発なRansomware-as-a-Service(RaaS)オペレーションの1つとして浮上し、米国、西ヨーロッパ、日本で被害者が確認されるなど、前例のない運用ペースを示しています。グループのデータリークサイトの分析により、製造業、テクノロジー、金融サービス、ヘルスケアなどの高価値セクターを日和見的に標的としていることが明らかになりました。
被害者の傾向は、脅威アクターが運用上の機密性、データの重要性、そして身代金支払いの可能性が高い業界を優先していることを示しています。重要インフラや医療施設を標的とするグループの意欲は、社会的影響よりも金銭的利益を優先していることを強調しています。
組織へのセキュリティ対策提言
この攻撃手法は、主にWindowsに焦点を当てた制御を中心に構築された従来のセキュリティアーキテクチャに課題を突きつけます。Windowsプラットフォーム上で正規のリモート管理ツールを介してLinuxバイナリを実行することは、ほとんどの企業セキュリティプログラムにおける重大な盲点です。
組織は、ハイブリッド環境の脅威とクロスプラットフォームのランサムウェア展開技術に対応するために、セキュリティ体制を緊急に見直す必要があります。セキュリティチームは、リモート管理ツールの監視を強化し、RMMプラットフォームを承認されたホストに制限し、すべての管理アクセスに多要素認証を強制する必要があります。
重要なバックアップインフラストラクチャは、生産ネットワークから分離し、認証情報アクセスには最小特権の原則を厳格に適用する必要があります。検出ルールは、署名されていないドライバーのロード、DLLサイドローディングの試み、およびリモート管理ツールを介したWindowsシステム上でのLinuxバイナリの実行を特定するように拡張されるべきです。
Agendaランサムウェアキャンペーンは、脅威アクターが多くの組織のセキュリティ制御よりも速く適応していることを示しています。BYOVD技術、正規ツールの悪用、バックアップインフラストラクチャの標的化、およびクロスプラットフォーム実行方法の組み合わせは、ハイブリッドなWindowsおよびLinux環境全体で包括的な可視性を必要とする強力な攻撃ベクトルを生み出しています。