Last Updated on 2025-03-24 10:19 by admin
Elastic Security Labsは2025年3月、Medusaランサムウェアの攻撃者がABYSSWORKERと呼ばれる悪意のあるドライバーを使用してアンチマルウェアツールを無効化していることを発見した。このドライバーは「自前の脆弱なドライバーを持ち込む(BYOVD)」攻撃の一部として使用されている。
ABYSSWORKERドライバーは、HeartCryptと呼ばれるパッカー・アズ・ア・サービス(PaaS)を使用してパッキングされたローダーと共に展開され、被害者のマシンにインストールされる。このドライバーは「smuol.sys」という名前で、正規のCrowdStrike Falconドライバー(「CSAgent.sys」)を模倣している。
2024年8月8日から2025年2月25日までの間に、VirusTotalプラットフォームで数十のABYSSWORKERの成果物が検出された。すべてのサンプルは中国企業から盗まれた可能性が高い失効した証明書を使用して署名されている。
このドライバーは2025年1月にConnectWiseによって「nbwdv.sys」という名前で最初に文書化され、現在は複数のEDRベンダーを標的にしている。
ABYSSWORKERは、ファイル操作からプロセスとドライバーの終了まで幅広い操作が可能で、EDRシステムを終了または永久に無効化するための包括的なツールセットを提供している。特に注目すべき機能は、セキュリティ製品を無力化するために通知コールバックを削除する機能である。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、FBIおよびマルチステート情報共有分析センターによる共同サイバーセキュリティ勧告によると、Medusaは2年間で300以上の組織に攻撃を行っており、その多くは重要インフラ部門に属している。
また、別の事例として、Check PointのZoneAlarmアンチウイルスソフトウェアの脆弱なカーネルドライバー「vsdatant.sys」が、Windowsのメモリ整合性などのセキュリティ機能を無効化するためのBYOVD攻撃に悪用されていることも報告されている。
from:Medusa Ransomware Uses Malicious Driver to Disable Anti-Malware with Stolen Certificates
【編集部解説】
高度化するランサムウェア攻撃手法
Medusaランサムウェアが使用する「ABYSSWORKER」ドライバーは、サイバーセキュリティの世界で新たな脅威として注目を集めています。この悪意あるドライバーは、セキュリティ対策を無効化するという点で特に危険性が高いと言えるでしょう。
複数のセキュリティ研究機関の報告によると、ABYSSWORKERドライバーはMedusaランサムウェアの攻撃チェーンにおいて重要な役割を果たしています。このドライバーはHeartCryptと呼ばれるパッカー・アズ・ア・サービスと共に展開され、被害者のマシンにインストールされた後、様々なEDR(エンドポイント検出および応答)ベンダーのセキュリティ製品を標的にして無力化します。
特筆すべきは、ABYSSWORKERが「smuol.sys」という名前で正規のCrowdStrike Falconドライバー(「CSAgent.sys」)を模倣している点です。この偽装により、セキュリティシステムの監視をすり抜けることが可能になっています。
BYOVDとEDR無効化の脅威
ABYSSWORKERドライバーの使用は、近年増加している「BYOVD(Bring Your Own Vulnerable Driver:自前の脆弱なドライバーを持ち込む)」攻撃の一例です。この攻撃手法では、攻撃者が脆弱なドライバーを利用して特権操作を実行し、セキュリティ製品を無効化します。
CrowdStrikeの報告によると、過去18ヶ月間でBYOVD攻撃は著しく増加しており、攻撃者はEDR製品をバイパスするためにこの手法を積極的に活用しています。これは企業のセキュリティ体制に対する深刻な脅威となっています。
Elastic Security Labsの詳細な分析によれば、ABYSSWORKERドライバーは初期化後、プロセスIDをグローバル保護プロセスのリストに追加し、入ってくるデバイスI/O制御要求をリッスンするよう設計されています。これにより、ファイル操作からプロセスとドライバーの終了まで、幅広い操作が可能になります。
Medusaランサムウェアの被害拡大
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、FBIおよびマルチステート情報共有分析センター(MS-ISAC)の共同サイバーセキュリティ勧告によると、Medusaランサムウェアは2年間で300以上の組織に攻撃を行っており、その多くはヘルスケア、製造業、テクノロジーなどの重要インフラ部門に属しています。
Symantecの脅威ハンターチームの調査によれば、Medusaの活動は2024年に前年比42%増加し、2025年1月と2月にも引き続き上昇しています。この急増は、Medusaの攻撃手法が効果的であることを示しています。
企業が直面するリスクと対策
ABYSSWORKERのような悪意あるドライバーを使用した攻撃は、企業のセキュリティ体制に大きな穴を開ける可能性があります。特に懸念されるのは、このドライバーがセキュリティ製品の通知コールバックを削除することで、セキュリティツールを「盲目」にできる点です。
企業はこのような脅威に対して、コマンドラインやスクリプト活動の制限、特権昇格の制御など、複数の対策を講じる必要があります。また、ドライバー署名の検証強化や、不審なドライバーのインストールを監視するシステムの導入も効果的でしょう。
CrowdStrikeの事例では、顧客が経験した侵入において、攻撃者が6つの脆弱なドライバーを持ち込んでFalconセンサーをバイパスしようとしましたが、Falconの保護機能によってすべて検出またはブロックされました。このように、適切なセキュリティ対策を講じることで、高度な攻撃からも組織を守ることが可能です。
今後の展望
ランサムウェア攻撃はますます高度化しており、ABYSSWORKERのような専用ツールの開発は、攻撃者が投資を増やしている証拠と言えるでしょう。特に、正規の証明書を悪用する手法は、セキュリティシステムの信頼モデルに対する挑戦となっています。
今後は、ドライバーレベルでの保護機能の強化や、カーネルレベルでの異常検知技術の発展が期待されます。また、組織はセキュリティ意識の向上と、多層防御戦略の採用を継続的に行うことが重要です。
Medusaランサムウェアとそのツールキットの進化は、サイバーセキュリティの世界で常に警戒を怠らない必要性を改めて示しています。テクノロジーの進化と共に、私たちの防御策も進化し続けなければならないのです。
【用語解説】
BYOVD攻撃:
Bring Your Own Vulnerable Driverの略。攻撃者が脆弱性を持つ正規のドライバーを悪用してシステムの特権を取得し、セキュリティ対策を無効化する攻撃手法。
EDR:
Endpoint Detection and Responseの略。エンドポイント(PCやサーバーなど)での脅威検知と対応を行うセキュリティソリューション。
RaaS:
Ransomware-as-a-Serviceの略。ランサムウェアを開発者がサービスとして提供し、攻撃者はそれを利用して攻撃を行う。
カーネル:
オペレーティングシステムの中核部分。ハードウェアとソフトウェアの間を仲介し、システム全体を制御する。コンピュータの「心臓部」と言える。
ドライバー:
ハードウェアを制御するためのソフトウェア。OSとハードウェアの間の「通訳」のような役割を果たす。高い特権で動作するため、攻撃者の標的となる。
コード署名:
ソフトウェアの開発元を証明するデジタル署名。正規のソフトウェアであることを保証する「公印」のようなもの。
【参考リンク】
Elastic Security Labs(外部)
Elasticのセキュリティ研究部門。脅威インテリジェンスの収集・分析を行い、最新の脅威に関する情報を提供している。
CrowdStrike Falcon(外部)
クラウドベースのセキュリティプラットフォームで、EDRやアンチウイルス機能を提供。
ConnectWise(外部)
ITサービスプロバイダー向けのビジネス管理・リモート監視・セキュリティソリューションを提供。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
