BlackByte ランサムウェアの検出: 脅威アクターがCVE-2019-16098の脆弱性をRTCore64.sysドライバーで悪用しEDR保護を回避

BlackByteランサムウェア 正当なドライバーのセキュリティ脆弱性を悪用して侵害されたデバイスでEDR製品を無効化し、サイバー脅威の場に再出現しています。サイバーセキュリティ研究者は、ランサムウェアオペレーターが「Bring Your Own Driver」と名付けられた高度な対敵技術を適用し、セキュリティ製品を回避し、脆弱なマシンに感染を拡げていることを明らかにしました。

最新の敵対キャンペーンで使用されるBlackByteランサムウェアを検知する

サイバーディフェンダーは、正当なドライバーを悪用してセキュリティソリューションを回避するBlackByteランサムウェアオペレーターによる攻撃が続く可能性が高いことを認めています。業界の仲間がBlackByteランサムウェアの検知を積極的に行えるよう支援するために、SOC Primeのプラットフォームは専用の Sigmaルール を開発した生産的なThreat Bounty開発者によって Nattatorn Chuensangarun.

これらの検知は17のSIEM、EDR、およびXDRソリューションに対応しており、 MITRE ATT&CK®フレームワーク の実行戦術および対応するユーザー実行技術（T1204）に準拠しています。

「 検知を探る 」ボタンをクリックして、BlackByteランサムウェア検知のためのSigmaルールに瞬時にアクセスし、包括的な脅威インテリジェンスを深く探究してください。

検知を探る

BlackByteランサムウェア攻撃分析: RTCore64.sysドライバーを対象とした新しいキャンペーン

BlackByteランサムウェア は2021年7月以来、RaaSモデルを適用して世界中の組織を標的にしてきました。ランサムウェアオペレーターは常にマルウェアバリアントを進化させ、対敵ツールキットを拡充しています。もともと、BlackByteランサムウェアグループはC#プログラミング言語でマルウェアの亜種を開発し、その後、アップグレードされた Goベースのバリアント を、2022年5月にスイスの物流会社を標的にしたサイバー攻撃で使用されたファイル暗号化が強化されたバージョンとして適用しました。この対敵キャンペーンでは、すでにセキュリティソリューションを無効化し、検知を回避する技術が適用されました。

最近の研究によると、 Sophos がRTCore64.sysドライバーの既知の脆弱性を悪用してEDRソリューションを無効化することを可能にする「Bring Your Own Driver」と呼ばれる新しい対敵技術を明らかにしました。CVE-2019-16098というトラッキングされているセキュリティ欠陥は、特権昇格、コード実行、および情報漏洩に悪用される可能性があります。類似の技術は以前にも脅威アクターによって利用され、 AvosLockerランサムウェア バリアントは侵害されたAvastドライバーを悪用し、 Log4Shellのエンドポイントをスキャンし、アンチウイルス保護を無効化しました。さらに、2022年8月には悪意のある攻撃者がmhyprot2.sys、侵害されたアンチチートドライバーをターゲットにし、 原神のゲームを対象にしてランサムウェアサンプルを拡散しようとしました。

BlackByteランサムウェアの新しいバリアントをドロップするために使用される回避技術は、EDR製品が依存する正当なドライバーを読み出し、上書きすることを脅威アクターに許可します。Sophosの報告によると、この対敵技術は最大1,000のRTCore64.sysドライバーを無効化することが可能であり、このソフトウェアを活用する世界的な組織に重大な脅威をもたらしています。

BlackByteランサムウェアは、侵害された正当なデバイスを利用して、EDRソリューションがカーネルメモリから活用するコールバックエントリを削除します。その結果、攻撃者は脆弱なドライバーのコールバック機能をゼロで上書きすることが可能になります。悪用されたドライバーのI/O制御コードは、ユーザーモードプロセスによって直接アクセス可能であり、これにより、攻撃者は脆弱性を悪用し、カーネルメモリ内で読み取りまたは書き込み操作をシェルコードやエクスプロイトなしでも実行することが可能です。

BlackByteランサムウェア攻撃に対して積極的に防御するには、 関連するSigmaルールの全コレクション および、SIEM & XDRの翻訳と詳細なサイバー脅威のコンテキストを直ちに入手してください。特定の検知コンテンツで集団的な業界の専門知識を豊かにしようとする進取的な脅威研究者は、 Threat Bounty Program に参加し、彼らの貢献を収益化することができます。ライブのプロのプロフィールを構築し、SigmaおよびATT&CKスキルを磨き、グローバルなサイバー防御コミュニティから認識を得る絶好の機会を逃さないでください。