SOC Prime Bias:

03 Dec 2025 17:12 UTC

Riddle Spider Avaddon ランサムウェア分析と技術的概要

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
Riddle Spider Avaddon ランサムウェア分析と技術的概要
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Avaddonは、犯罪グループRiddle Spiderによって運営されているRansomware-as-a-Service(RaaS)オペレーションです。このC++ベースのマルウェアは、ローカルおよびネットワークアクセス可能なデータを暗号化し、シャドウコピーを削除し、奪取された情報の漏洩を脅迫することでダブルエクストーションモデルを利用しています。盗まれた認証情報、公開されたRDPサービス、カスタムのWebシェルを介して展開され、多くのアンチ解析技術を活用しています。

Avaddonランサムウェア分析

分析には、Avaddonのコードベース、構成の保存方法、地理的チェックの実行方法、サービスの停止、プロセスの終了、およびAES-256を使用した暗号化の実行方法に関する詳細が含まれています。また、終了するために選択されたサービスとプロセス、リカバリメカニズムを無効にするために使用された特定のコマンドを列挙します。

緩和策

ディフェンダーは、堅牢な認証情報の管理を徹底し、RDPの露出を制限または強化し、既知のWebシェルパターンを監視し、シャドウコピー削除コマンドの実行を検出するべきです。アプリケーションホワイトリスティングと定期的かつオフラインのバックアップを維持することで、ランサムウェアの影響を大幅に削減できます。

対応

Avaddonの活動が検出された場合、妥協されたシステムを隔離し、揮発性の証拠を取得し、関連するコマンドラインの動作をブロックし、完全な法医学イメージングでインシデントレスポンスを開始します。信頼できるオフラインバックアップからデータを復元し、ダブルエクストーション戦術のために法執行機関の関与を検討してください。

攻撃フロー

シミュレーション

エグゼクティブサマリー

テストケースID: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
検出ルールロジックの概要: 件名に「load」という単語を含み、本文に「.exe」と「.msi」の文字列が含まれるメールを検出し、悪意のあるダウンロードリンクを示します。
検出ルールの言語/形式: sigma
対象セキュリティ環境: Windows OS – ネットワーク接続ログ (例:Windowsファイアウォール、プロキシ、DNSログ) – Sigmaルールを使用するSIEMプラットフォーム (例:Splunk、Elastic、Azure Sentinel)
レジリエンススコア (1-5): 2
正当化: このルールは…
シミュレーションを全て表示