-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Bring Your Own Installer:新たなEDRバイパス手法がランサムウェア攻撃で使われる
BleepingComputer – May 5, 2025
EDRをバイパスするための新たなテクニック「Bring Your Own Installer」について、ストルツフリードバーグ社のインシデントレスポンスチームが報告。攻撃者はSentinelOne EDRの改ざん防止機能を回避するために実際の攻撃でこの技法を使い、SentinelOneのEDRエージェントを無効化してBabukランサムウェアをインストールすることに成功していたという。
SentinelOneのEDR製品には改ざん防止機能が備わっており、EDRエージェントを削除するためには管理コンソール内で管理者として操作するか、独自のコードを用いる必要がある。これにより権限を持たないユーザーによって保護措置が無効化されるのを防ぎ、マルウェアを使ってEDRプロセスを終了させることも難しくなっている。しかし今回新たに発見されたBring Your Own Installerテクニックにより、独自コードを使うことなくこうした保護措置を掻い潜ることが可能になっていたという。
Bring Your Own Installerは、EDRエージェントのアップグレードプロセスにおけるギャップを悪用するもの。SentinelOneのインストーラーは、既存のものとは異なるバージョンのエージェントをインストールする際、既存のファイルが新しいものに上書きされる寸前に、関連のあるWindowsプロセスをすべて終了させる。攻撃者らは、このささやかな悪用機会に着目。正規のSentinelOneインストーラーを走らせ、これにより実行中のエージェントのサービスが終了されたのちに、強制的にインストールプロセスを終了させるという方法を取ったという。これにより、被害者のデバイスは保護されていない状態になったとされる。
この手法は、2025年初頭に発生した顧客組織におけるランサムウェア攻撃への対応中にストルツフリードバーグのJohn Ailes氏とTim Mashni氏によって発見された。これらの研究者によると、ある被害組織の調査を行ったところ、攻撃者らがある脆弱性を通じて同被害者のネットワークへの管理者アクセスを奪取したことがログから示されたという。その後攻撃者らはSentinelOneのWindows向けインストーラー(msiexec.exe)を起動後、新バージョンのEDRエージェントがインストールされる前にこのインストーラーのプロセスを終了。こうしてBring Your Own Installerテクニックを使って保護を無効化し、ランサムウェアの展開を成功させたとされる。なお、この手法では新・旧いずれのバージョンのエージェントも使うことができるため、最新版を使用していたとしても攻撃を受けるリスクは同等だという。
SentinelOne社自身もBring Your Own Installerが有効であることを認めており、この手法によって自社以外のEDRベンダーにも似たような脅威がもたらされる恐れがあることを示唆した。緩和策としては、デフォルトでは無効になっている「オンライン認証」設定を有効化することが推奨されている。
Scattered Spider(UNC3944)が再浮上、小売業界狙った攻撃でDragonForceやRansomHubとの繋がりが示唆される
Securityonline[.]info – May 7, 2025
UNC3944(Scattered Spider)にスポットライトを当てたMandiantの新たなレポートにより、同グループとDragoForceランサムウェアおよびRaaSオペレーションとの結びつきが示されている。
UNC3944は当初、主にSIMスワップ攻撃を行うグループとして浮上。その後この金銭的動機を持つ脅威グループは2023年、ランサムウェア攻撃やデータ窃取・恐喝を行う方向へとシフトチェンジした。中心メンバーとされる人物の逮捕・起訴などを経て、2025年も活動を続けている。攻撃ではソーシャルエンジニアリング戦術や標的との厚かましいやり取りを執拗に用いる点が特徴とされる。
そんなUNC3944だが、Mandiantの指摘した以下のような事実から、DragoForceおよびDragoForceとの繋がりが示唆されているという。
- 最近の公の報道で、脅威アクターたちがScatterd Spiderのものと一致する戦術を使って英国の小売組織を攻撃し、DragonForceランサムウェアを展開していた旨が伝えられている
- DragonForceと関連するアクターたちが、英国の複数小売業者へ攻撃を仕掛けようとした旨を主張してたとBBCが報道
- これらのDragonForceのオペレーターらは最近、RaaSオペレーションであるRansomHubを管理下に置いたと主張していた。なおRansomHubは2025年3月にオペレーションをストップしたとみられている
- UNC3944は2024年にRansomHubのアフィリエイトとして活動していた
Mandiantはまた、小売業界の組織がデータリークサイトに掲載される割合が2025年になって増えていると指摘。保有する個人情報や金銭関連データの量を踏まえると、UNC3944を含む脅威アクターたちがこの業界を魅力的なターゲットと捉えていても不思議ではないと述べた。
同社によれば、組織には以下5つの柱にわたってセキュリティを強化することが求められるとのこと。
- アイデンティティ:特権アカウントにはオンカメラによる本人確認を義務付け、SMSベースのMFAを禁止する
- エンドポイント:デバイスのコンプライアンスチェックを実施し、不正なシステムに目を光らせる
- アプリケーション・クラウド:VPN、PAM システム、仮想化プラットフォームを強化し、バックアップインフラを分離する
- ネットワークインフラ:セグメンテーションを使用し、出口を制限し、TORおよび VPS範囲へのトラフィックをブロックする
- モニタリング・検出:ADReconなどの偵察ツールの使用を検出できるようにして、ドメインのなりすましがないかを監視し、新しいMFA登録を精査する
