新ランサムウェア「Kasseika」、アンチウイルスドライバ用いて他のアンチウイルスを無効化 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新ランサムウェア「Kasseika」、アンチウイルスドライバ用いて他のアンチウイルスを無効化

Threat Report

Silobreaker-CyberAlert

新ランサムウェア「Kasseika」、アンチウイルスドライバ用いて他のアンチウイルスを無効化

佐々山 Tacos

佐々山 Tacos

2024.01.24

新ランサムウェア「Kasseika」、アンチウイルスドライバ用いて他のアンチウイルスを無効化

BleepingComputer – January 23, 2024

最近発見された新たなランサムウェアオペレーション「Kasseika」について、トレンドマイクロが報告。同ランサムウェアはBYOVD(Bring Your Own Vulnerable Driver)の戦術を採用しており、アンチウイルスソフトを無効化するためにMartini.sysというドライバを用いるのだという。

Kasseikaランサムウェアによる攻撃の流れ

Kasseikaの攻撃にはMartini.sysドライバが不可欠で、以下のような流れで行われるとされる。

 

標的組織の従業員へフィッシングメールを送り、アカウント認証情報の窃取を試みる

盗んだ認証情報を使って企業ネットワークへの初期アクセスを獲得する

WindowsのツールPsExecを使って、感染したシステムおよびラテラルムーブメントによってアクセスに成功したその他のシステム上で悪意ある .batファイルを実行する

上記ファイルが「Martini.exe」という名称のプロセスが存在するかどうかをチェックし、存在する場合は干渉を避けるためこれを終了させる

同ファイルによって脆弱な「Martini.sys」ドライバがダウンロードされる

ロードされたドライバの欠陥を悪用することにより、Kasseikaのマルウェアは、アンチウイルス製品やセキュリティツール、分析ツール、システムユーティリティ等に対応する991のプロセスを終了させられるようになる

メインのランサムウェアバイナリ(smartscreen_protected.exe)が起動され、ファイルが暗号化される

各ディレクトリにランサムノート(身代金要求メモ)が投下される

セキュリティ分析を困難にするため、「wevutil.ex」などのコマンドを使って暗号化後のシステムイベントログが消去される

BlackMatterとの類似点が多数

トレンドマイクロは、Kasseikaの攻撃チェーンやソースコードにBlackMatterのものとの類似点が多数あると指摘。BlackMatterは2021年に停止したランサムウェアだが、それ以後にソースコードが流出したことはないことから、Kasseikaを生み出したのはBlackMatterの元メンバーであるか、もしくはBlackMatterのソースコードを購入した熟練のランサムウェアアクターである可能性が考えられるという。

観測された攻撃における身代金要求額は50ビットコイン

トレンドマイクロが観測した攻撃では、被害者は72時間以内に50ビットコイン(およそ200万ドル)を入金するよう要求されていた。またKasseikaは、支払いが遅れた場合、24時間ごとに50万ドルの値上げを行うと脅していたという。なお被害者が復号ツールを入手するためには、支払いの証拠を5日以内にプライベートのTelegramグループに投稿する必要がある。

このほか、トレンドマイクロのブログ記事ではさらに詳しい戦術が提供されており、こちらのページでKasseika関連のIoCが公開されている。

1月23~24日: その他のサイバーセキュリティ関連ニュース

フランス当局、従業員の監視めぐりAmazonへ3,200万ユーロの罰金科す

The Record – January 24th, 2024

フランスのデータ保護当局CNILはAmazon社に対し、GDPRなどへの違反があったとして3,200万ユーロ(およそ3,470万ドル)の罰金を科した。Amazonは倉庫におけるあらゆる業務に関してスキャナーを使った監視を行っているが、CNILによれば、このような従業員の過剰な監視はその規模や強度からいって違法行為であり、また監視データを適時に削除しなかったことはGDPR違反に該当するという。当局はまた、この監視により従業員は「継続的なプレッシャー下」に置かれながらも、Amazon自身は「経済的利益」を得られるようになっていると指摘した。同社はCNILの結論に強く反発しており、異議申し立ても辞さない姿勢を示している。

GoAnywhereの認証バイパスの脆弱性、PoCがリリース: CVE-2024-0204

BleepingComputer – January 23, 2024

最近開示されたGoAnywhere MFTにおける重大な認証バイパスの脆弱性、CVE-2024-0204。その技術的分析結果およびPoCエクスプロイトが、Horizon3の研究者によって早くも公開されている。同脆弱性は7.4.1より前のバージョンに影響を与えるもので、権限のない第三者による管理者ユーザーの作成・成りすましを可能にする恐れがある。今回エクスプロイトがリリースされたことで、脅威アクターたちが未パッチのGoAnywhere MFTインタンスを探してこれを侵害しようとし始める可能性が非常に高まっているとBleepingComputerは指摘。Horizon3のレポートはこちらから、PoCはこちらから確認できる。

関連記事:GoAnywhere MFTに重大な認証バイパスの脆弱性: CVE-2024-0204、CVSS 9.8

英米豪がロシア人ハッカーに制裁 メディバンクへのハッキングに関与した疑いで

The Record – January 24th, 2024

医療保険会社メディバンクを狙った2022年の大規模サイバー攻撃に関与した疑いで、ロシア人ハッカーAleksandr Ermakov(33歳)がオーストラリア、英国、米国から金融制裁と渡航禁止処分を科された。同容疑者は2022年10月に実施されたランサムウェア攻撃の後、ダークウェブ上で同社の顧客データを無許可で公開・リークした疑いをかけられている。

この攻撃ではメディバンクの新旧顧客970万人分の個人識別情報(PII)が漏洩し、英米豪で捜査が行われていた。22日に先陣を切って制裁を発表したオーストラリアのクレア・オニール内務大臣兼サイバーセキュリティ大臣は「豪政府がサイバー犯罪者を特定し、こういったサイバー制裁を科すのは初めてだが、これが最後にはならない」と語った。

なお、Ermakovは悪名高いロシアのサイバー犯罪グループREvilのメンバーであるとも考えられている。現在、同容疑者の所在はわかっていないが、Eメールによる問い合わせではハッキングへの関与を否定している。ロシア政府は今回の制裁について公に反応していない。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ