Akira ランサムウェアは、正規の Intel CPU チューニング・ドライバを悪用し、ターゲット・マシン上で実行されているセキュリティ・ツールや EDR からの攻撃で Microsoft Defender をオフにしている。
悪用されているドライバは「rwdrv.sys」(ThrottleStopによって使用される)で、脅威行為者はカーネルレベルのアクセスを得るためにサービスとして登録します。
このドライバは、Windows Defenderを操作してその保護をオフにする悪意のあるツールである2番目のドライバ「hlpdrv.sys」をロードするために使用される可能性が高い。
これは「Bring Your Own Vulnerable Driver」(BYOVD)攻撃であり、脅威者は既知の脆弱性や特権の昇格を達成するために悪用できる弱点を持つ、署名された正規のドライバーを使用する。このドライバは、Microsoft Defenderを無効にする悪意のあるツールをロードするために使用されます。
「2つ目のドライバであるhlpdrv.sysも同様にサービスとして登録されています。hlpdrv.sysは、同様にサービスとして登録され、実行されると、Windows DefenderのDisableAntiSpyware設定を変更する。
「このマルウェアは、regedit.exeの実行によってこれを達成する。
この手口は、2025年7月15日以来、Akiraランサムウェアの攻撃でrwdrv.sysドライバが繰り返し悪用されていることを報告しているGuidepoint Securityによって観察された。
“我々は、最近のAkiraランサムウェアのIRケースにおけるその偏在性のため、この動作にフラグを立てています。この忠実度の高いインジケータは、プロアクティブな検出や遡及的な脅威ハンティングに使用できます。
これらの攻撃を検知しブロックするために、Guidepoint Securityは、hlpdrv.sysのYARAルールと、両ドライバの完全な侵害指標(IoC)、サービス名、およびそれらがドロップされるファイルパスを提供している。
SonicWall SSLVPNに対するAkira攻撃
Akiraランサムウェアは最近、未知の欠陥と思われるものを利用したSonicWall VPNへの攻撃に関連していた。
Guidepoint Securityによると、Akiraランサムウェアの運営者がSonicWall VPNのゼロデイ脆弱性を悪用していることについては、確認も否定もできなかったという。
攻撃活動の活発化に関する報告を受けて、SonicWallは、SSLVPNの無効化または制限、多要素認証(MFA)の実施、ボットネット/Geo-IP保護の有効化、および未使用アカウントの削除を助言している。
一方、DFIR Reportは、最近のAkiraランサムウェア攻撃の分析を発表し、ITソフトウェアツールのトロイの木馬化されたMSIインストーラを介して配信されるBumblebeeマルウェアローダの使用を強調しています。
その例として、Bingで「ManageEngine OpManager」を検索すると、SEOポイズニングによって被害者が悪意のあるサイトopmanager[.]proにリダイレクトされることが挙げられます。
.jpg)
ソースはこちら:DFIRレポート
BumblebeeはDLLのサイドローディングによって起動され、C2通信が確立されると、AdaptixC2をドロップして永続的なアクセスを行います。
その後、攻撃者は内部偵察を行い、特権アカウントを作成し、RustDesk と SSH トンネルを介してアクセスを維持しながら、FileZilla を使用してデータを流出させます。
約44時間後、Akiraランサムウェアのメインペイロード(locker.exe)が展開され、ドメイン全体のシステムを暗号化します。
SonicWall VPNの状況が落ち着くまで、システム管理者はAkira関連のアクティビティを監視し、セキュリティ調査から指標が出てきたらフィルタリングやブロックを適用する必要がある。
また、なりすましサイトはマルウェアの一般的な感染源となっているため、ソフトウェアのダウンロードは公式サイトやミラーサイトからのみ行うことを強くお勧めします。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2025マルウェアの93%が使用するトップATT&CKテクニックの分析
パスワード・ストアを標的とするマルウェアが3倍に急増、攻撃者はステルス的なパーフェクト・ハイスト・シナリオを実行し、重要なシステムに侵入して悪用。
攻撃の93%を支えるMITREのATT&CK手法のトップ10とその防御方法をご覧ください。
Comments