SOC Prime Bias: クリティカル

10 12月 2025 19:28
newspaper icon アクロニス

マコップランサムウェアによるインド企業攻撃:GuLoaderによる配信と権限昇格

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
マコップランサムウェアによるインド企業攻撃:GuLoaderによる配信と権限昇格
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

Makop ランサムウェアは、Phobos ファミリーの亜種であり、露出したリモートデスクトッププロトコル (RDP) サービスを濫用し、発見、横移動、権限昇格のために市販のユーティリティを活用して組織を攻撃しています。このキャンペーンには、新たに GuLoader ダウンローダーやいくつかのローカル権限昇格エクスプロイトが含まれています。攻撃者は誤解を招くファイル名でユーザーのディレクトリにランサムウェアのバイナリを展開します。この脅威は主にインド企業を標的としており、ブラジルやドイツでも活動が観察されています。

調査

Acronis 脅威調査ユニットは最近の Makop のケースを調査し、RDP ブルートフォース攻撃から始まり、ネットワークスキャン、資格情報のダンピング、いくつかの CVE による権限昇格エクスプロイトの実行までの繰り返し可能な攻撃チェーンをマッピングしました。GuLoader は AgentTesla や FormBook などのフォローオンペイロードを配信していることが確認されました。調査員はまた、セキュリティソリューションを無効化するために使用された AV-killer ツール、脆弱なドライバ、カスタムアンインストーラーを文書化しています。

軽減策

推奨される防御策には、RDP に多要素認証を強制し、インターネットに露出した RDP エンドポイントを排除し、すべての参照された CVE に対するパッチを適用し、既知のローダーバイナリや AV-killer ユーティリティを監視し、エンドポイント検知を使用して疑わしいスクリプトの実行をブロックすることが含まれます。Windows Defender のシグネチャを最新の状態に保ち、署名されていないまたは信頼性の低いドライバの使用を制限することで、観測された手法への露出をさらに減らします。

対応

活動が検出されたら、すぐに影響を受けたホストを隔離し、GuLoader や疑わしいダウンローダーのプロセスを終了し、揮発性メモリを取得して分析を行います。潜在的な資格情報のダンピングを包括的に評価し、既知の悪意のあるファイルハッシュやファイル名をブロックし、エクスプロイトされた CVE を修正します。可能であれば、確認済みバックアップから暗号化されたデータを復元し、適切なインシデント対応および管理チームに通知します。

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[“<b>アクション</b> – <b>T1021.001 リモートサービス: RDP</b><br /><b>説明</b>: NLBrute を使用したブルートフォース RDP ログイン”] class initial_access_rdp action defense_evasion_impair[“<b>アクション</b> – <b>T1562 防御の回避</b><br /><b>説明</b>: disable‑defender.exe を使用して Windows Defender を無効化し、脆弱なドライバを悪用”] class defense_evasion_impair action priv_esc_exploit[“<b>アクション</b> – <b>T1068 権限昇格のためのエクスプロイト</b><br /><b>説明</b>: CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2021‑41379, CVE‑2016‑0099 を活用”] class priv_esc_exploit action discovery_remote[“<b>アクション</b> – <b>T1018 リモートシステム探索</b><br /><b>説明</b>: NetScan、Advanced IP Scanner、Masscan を使用して内部ネットワークをスキャン”] class discovery_remote action lateral_movement_rdp[“<b>アクション</b> – <b>T1021 リモートサービス</b><br /><b>説明</b>: 盗まれた資格情報を使用して RDP および SMB の横移動”] class lateral_movement_rdp action credential_dumping[“<b>アクション</b> – <b>T1003 OS 資格情報ダンプ</b><br /><b>説明</b>: Mimikatz、LaZagne、NetPass を使用して資格情報を抽出”] class credential_dumping action execution_vbs[“<b>アクション</b> – <b>T1059.005 Visual Basic</b><br /><b>説明</b>: GuLoader によってドロップされた VBS スクリプトを実行”] class execution_vbs action impact_encrypt[“<b>アクション</b> – <b>T1486 影響を与えるためのデータ暗号化</b><br /><b>説明</b>: Makop ランサムウェア暗号化ツールでファイルを暗号化”] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|leads_to| defense_evasion_impair defense_evasion_impair u002du002d>|leads_to| priv_esc_exploit priv_esc_exploit u002du002d>|leads_to| discovery_remote discovery_remote u002du002d>|leads_to| lateral_movement_rdp lateral_movement_rdp u002du002d>|leads_to| credential_dumping credential_dumping u002du002d>|leads_to| execution_vbs execution_vbs u002du002d>|leads_to| impact_encrypt

攻撃フロー

シミュレーション実行

前提条件: テレメトリー & ベースラインのプリフライトチェックが合格している必要があります。

理由: このセクションでは、検出ルールをトリガーするように設計された敵の手法 (TTP) の正確な実行を詳述します。コマンドと説明は、特定された TTP を直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。

  • 攻撃の説明とコマンド:

    1. 準備: 攻撃者は、CVE‑2025‑7771 を権限昇格に悪用するように設定されたThrottleStop.sys の悪意のあるバージョンを取得します。
    2. 展開: ドライバはシステムドライバディレクトリ (C:WindowsSystem32drivers).
    3. 実行: sc.exe を使って攻撃者は、悪意のあるドライバをロードするサービスを作成および起動し、それによってプロセスを SYSTEM に昇格させます。, the attacker creates and starts a service that loads the malicious driver, thereby elevating the process to SYSTEM.
    4. ポストエスカレーション: 昇格されたトークンを使用して、攻撃者は高い権限のアカウントをインパーソネート (T1134.005) できますが、そのステップはこのルールの範囲外です。

  • 回帰テストスクリプト:

    # ----------------------------------------------------------------
# ThrottleStop.sys 悪用のシミュレーション (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. 悪意のあるドライバをドロップする (ここではプレースホルダコピーを使用)
Write-Host "[*] 悪意のある ThrottleStop.sys を $driverPath にコピーしています"
# 実際のテストでは、ソースを実際の悪意のあるバイナリに置き換えます
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. ドライバをカーネルサービスとして登録
Write-Host "[*] ドライバのサービスを作成しています"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. ドライバを開始する (Sysmon ImageLoad をトリガー)
Write-Host "[*] ドライバサービスを開始しています"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] ドライバがロードされました – 検出ルールをトリガーするはずです。"
# ----------------------------------------------------------------

  • クリーンアップコマンド:

    # 悪意のあるドライバサービスを停止して削除
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# ドライバファイルを削除
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] クリーンアップ完了。"

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加