Kasperskyのツール悪用して検出を回避するランサムウェアグループに注意
マイナビニュース / 2024年9月13日 9時28分
Malwarebytesは9月9日(米国時間)、「New RansomHub attack uses TDSKiller and LaZagne, disables EDR - ThreatDown by Malwarebytes」において、ランサムウェアグループ「RansomHub」がKasperskyのルートキット検出ツール「TDSSKiller」を悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を無効化したと報じた。脅威アクターによるTDSSKillerの悪用例は今回が初めてではないが、RansomHubによる悪用は今回が初めてとしている。
○攻撃者はTDSSKillerを悪用
署名された正規アプリケーションの「TDSSKiller」は、通常の使用ではセキュリティソリューションから検出されない。そのため、権限次第では任意のサービス停止に使用することができる。また、コマンドラインからの使用に対応しており、バッチスクリプトなどからも実行可能とされる。
Malwarebytesは最近、自社のセキュリティサービス「Malwarebytes Anti-Malware Service」を含む重要なサービスを停止させる目的でTDSSKillerを使用する事案を確認したという。攻撃者は事前に管理者権限を獲得していたため、この試みは成功したとされる。
この事案において、攻撃者はセキュリティサービスを停止した後、ランサムウェアを展開する前に認証情報収集ツール「LaZagne」を展開したことも確認された。LaZagneはWebブラウザ、電子メールソフト、データベースなどから認証情報を窃取する機能を持つ。この活動はネットワーク内の横方向の移動を可能にするため、内部の認証情報を収集する目的があったものとみられている。
○対策
Malwarebytesは本件のように正規のアプリケーションを悪用する攻撃を回避するため、次に示す対策の実施を推奨している。
脆弱なドライバの持ち込み(BYOVD: Bring Your Own Vulnerable Driver)を制限する。TDSSKillerのように悪用可能なソフトウェアを監視し、既知の悪用パターン(コマンドライン)による実行をブロックする
ネットワークセグメンテーションを導入し、横方向の移動を制限する。攻撃者が認証情報の取得に成功した場合も、他の重要なシステムへのアクセスを阻止する
加えて、Malwarebytesはランサムウェア対策として24時間体制で攻撃を監視することを推奨している。24時間体制を構築できない企業および組織は、検知と対応のマネージドサービス(MDR: Managed Detection and Response)の導入による24時間体制の構築が望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
ハクティビスト、WinRARの脆弱性を突いたサイバー攻撃実施
マイナビニュース / 2024年9月5日 10時46分
-
注目度低いVMware ESXiの脆弱性を悪用するランサムウェア攻撃者に注意
マイナビニュース / 2024年9月3日 8時53分
-
セキュリティソフトを無力化するツール用いるランサムウェア攻撃に注意
マイナビニュース / 2024年8月25日 15時35分
-
シスコのスイッチ狙う中国の脅威グループ、メモリからマルウェア再構築
マイナビニュース / 2024年8月25日 11時21分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
ランキング
-
1「ケトルにラーメンを入れて調理していい?」「ミネラルウォーターを沸かしてもいい?」 ケトルに“入れてはいけないもの”をメーカーが解説
Fav-Log by ITmedia / 2024年9月12日 18時25分
-
2“ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む
ITmedia NEWS / 2024年9月13日 8時5分
-
3「日本のマクドナルドはクレイジーだ!」 アメリカ人が日本のメニューを食べてみたら…… まさかの酷評&絶賛に2500万再生「今から日本行きたい」
ねとらぼ / 2024年9月8日 12時0分
-
4【無料ゲーム】アマゾン「Prime Gaming」2024年9月の特典はこれだ
ASCII.jp / 2024年9月11日 12時15分
-
5電車の遅延情報などが一発でわかる「運行情報キャスト」が超便利! 開発者たちにオススメの使い方を聞いてみた
マイナビニュース / 2024年9月12日 17時33分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください