ロシアの脅威アクターであるFIN7は、ランサムウェアグループがより隠密に効果的に活動できるようにするため、近年何度も手法を変更している。FIN7が開発した「AuKill」は、エンドポイントセキュリティを損なうために特別に設計されたプログラムであり、エンドポイント検出および対応(EDR)ツールが依存する保護されたWindowsプロセスを停止するために10以上の異なるユーザーモードおよびカーネルモード技術を使用する。
SentinelOneの新しいレポートによると、AuKillは特に高レベルのランサムウェアグループの間で人気が高まっており、FIN7は防御者を一歩先んじるために新しい技術を追加している。この新しい技術は、EDRソリューションが実行する保護されたプロセスをサービス拒否(DoS)状態にすることを目的としている。
FIN7は、2012年から業界を横断して金銭目的のサイバーキャンペーンを実施しており、当初はポイントオブセール(PoS)マルウェアが専門だった。クレジットカード盗難からランサムウェアへとサイバー犯罪が移行するにつれて、FIN7もそれに合わせて移行し、自身のランサムウェア・アズ・ア・サービス(RaaS)プロジェクトを立ち上げ、他の主要なランサムウェアグループと提携した。
2022年4月、FIN7はAuKillとして知られるようになるアンチセキュリティツールの開発を開始し、サイバー犯罪フォーラムで4,000ドルから15,000ドルの価格でプログラムを市場に出した。2022年6月にはBlack Bastaが実際に使用した最初のアクターとして知られるようになり、2023年の変わり目頃には、ランサムウェアスペクトル全体の脅威アクターがこれに続いた。
AuKillの新機能は、保護されたWindowsプロセスを攻撃対象として検出し、それらが現れた場合にはそれらを一時停止させるデフォルトのタイムトラベルデバッグ(TTD)モニターWindowsドライバーと、更新されたバージョンのProcess Explorerドライバーを使用する。このマルウェアは、保護されたプロセスが保護されていないヘルパー(子)プロセスを起動しようとすると、後者のドライバーがそれらをブロックすることで、親プロセスと子プロセスの両方をブロックし、クラッシュを引き起こす。
組織は、企業デバイスに展開されたセキュリティソリューションのアンチタンパリング保護メカニズムが有効になっていることを確認する必要がある。この特定の技術に対しては、セキュリティソフトウェアのアンチタンパリング保護が、Process Explorerドライバーなどのカーネルモード攻撃に対して十分に強固であることを確認する必要がある。カーネルレベルの監視の実装やドライバーアクセスの制限など、追加のセキュリティ対策を講じることで、これらの高度な脅威に対する保護をさらに強化できる。
【ニュース解説】
ロシアの脅威アクターであるFIN7が開発した「AuKill」というプログラムは、エンドポイントセキュリティを標的にした高度なサイバー攻撃ツールです。このツールは、エンドポイント検出および対応(EDR)ツールが依存するWindowsの保護されたプロセスを停止させることができるため、ランサムウェアグループによる隠密性の高い攻撃を可能にします。
FIN7は、金銭目的のサイバーキャンペーンを長年にわたって実施してきた組織で、クレジットカード盗難からランサムウェアへとその活動範囲を広げてきました。AuKillは、この組織がランサムウェア攻撃の効果を高めるために開発した最新のツールであり、サイバー犯罪フォーラムで高額で販売されています。
AuKillの新機能は、保護されたプロセスをサービス拒否(DoS)状態に陥らせることで、EDRソリューションの機能を妨害します。これは、タイムトラベルデバッグ(TTD)モニターWindowsドライバーとProcess Explorerドライバーを利用して、保護されたプロセスとその子プロセスの両方をブロックし、システムクラッシュを引き起こすことで実現されます。
このような攻撃手法に対抗するためには、企業はセキュリティソリューションのアンチタンパリング保護メカニズムを強化し、特にカーネルモード攻撃に対する防御を確実にする必要があります。カーネルレベルの監視やドライバーアクセスの制限などの追加のセキュリティ対策を講じることで、高度な脅威から保護することが可能です。
このニュースは、サイバーセキュリティの分野における攻撃手法の進化と、それに対抗するための防御策の重要性を浮き彫りにしています。組織は、常に最新の脅威に対して警戒し、セキュリティ対策を更新し続ける必要があります。また、このような高度な攻撃ツールの出現は、サイバーセキュリティ業界における技術的な競争が激化していることを示しており、今後も新たな防御技術の開発が求められるでしょう。
from Security End-Run: 'AuKill' Shuts Down Windows-Reliant EDR Processes.