AvosLockerランサムウェアの検出：ドライバーファイルを悪用してウイルス対策を無効化、Log4Shell脆弱性をスキャン

最近のサイバーセキュリティ研究では、AvosLockerランサムウェアのサンプルが、アバストのアンチルートキットドライバーファイルを悪用してアンチウイルスを無効化し、それによって敵が検出を回避し、防御を打ち破ることができることが明らかになりました。AvosLockerは、新しいランサムウェアファミリーを代表するものとして知られており、悪名高い REvilを置き換えるためにサイバー脅威の舞台に登場しました。REvilは、2021年に最も活発なランサムウェアの一つでしたが、そのオペレーターが公式に停止するまで活動していました。

この最新のサイバー攻撃では、AvosLockerランサムウェアも、エンドポイントのセットを武器化し、 Log4Shellという、 AApache Log4j Javaロギングライブラリの悪名高いゼロデイ脆弱性に対して使用され、多数のデバイスが世界中で妥協されています。このランサムウェアは、悪意のあるNmap NSEスクリプトを活用してLog4Shellのスキャンを可能にしました。

AvosLockerランサムウェアの検出

以下のSigmaルールは、我々の洞察力に富んだ脅威賞金開発者 Sittikorn Sangrattanapitak and Nattatorn Chuensangarunによってリリースされ、AvosLockerランサムウェアを含む最新の攻撃を簡単に検出することができます。

Windows上のTrend Micro Apex One終了の可能性（via process_creation）

NMAPツールを用いたLog4Shell脆弱性を介したAvosLockerランサムウェアのコールバックC＆Cサーバーの可能性（via process_creation）

レジストリを変更して自動ログインを許可することによるランサムウェアの持続性の可能性（via process_creation）

ランサムウェア事件の数と深刻さが増加することで、ますます多くのユーザーが毎日危険にさらされています。AvosLockerランサムウェアに関連する検出コンテンツで最新情報を得るために、 SOC Primeプラットフォームに登録してください。 検出を表示 ボタンをクリックすると、25以上のSIEM、EDR、XDRソリューションに翻訳された専用ルールの広範なライブラリにアクセスできます。

SOC PrimeのThreat Bountyプログラムは、経験豊富な脅威ハンターと新進の脅威ハンターの両方を歓迎し、専門のコーチングと安定した収入を得ながら、Sigmaベースの検出コンテンツを共有することができます。

検出を表示 脅威賞金に参加

AvosLockerランサムウェアの分析

2021年7月に初めて観測され、 Ransomware-as-a-Service（RaaS） モデルとして機能し、AvosLockerランサムウェアは食品・飲料セクター、技術・金融業界、通信・政府機関を標的にしており、インド、カナダ、米国が 最も影響を受けた国々 として確認されています。これは、2021年7月から2022年2月までの半年間の悪質な活動に基づいています。 FBIとFinCENによって発行された 共同サイバーセキュリティ勧告によれば、AvosLockerランサムウェアは、金融サービスや政府機関を含む、米国の重要なインフラにも打撃を与えています。

による新しい研究に基づき、 Trend Micro のセキュリティ分析者らによると、AvosLockerランサムウェアの新しい亜種が世界中に広がり、感染したデバイス上のアンチウイルスソリューションを無効化する最初のものであることから他の亜種と異なっています。

最も可能性の高い初期アクセス点は、Zoho ManageEngine ADSelfService Plus（ADSS）エクスプロイトです。成功した侵入後、敵はmshta.exeを起動し、C＆CサーバーからHTMLアプリケーション（HTA）ファイルをリモートで実行します。このHTAは難読化されたPowerShellスクリプトを実行し、そのスクリプトはサーバーに接続してホストオペレーティングシステム上で任意のコマンドを実行するシェルコードを含んでいました。さらに、PowerShellはリモートデスクトップツールAnyDeskMSIをダウンロードして起動し、ランサムウェアのペイロードとさらなるシステム妥協のためのツールの配布に使用されました。

悪名高い Log4Shell脆弱性（CVE-2021-44228として追跡）をスキャンすることとは別に、AvosLockerランサムウェアは未パッチの他の脆弱性を標的にして、狙ったネットワークに侵入します。AvosLockerランサムウェアのこの新しい亜種は、ドライバーファイル（Avast Anti-Rootkit Driver）を悪用し、アンチウイルスソフトウェアを無効にしてそのステルス性を確立します。防御を無効にした後、AvosLockerのオペレーターは、MimikatzやImpacketを含む他のツールを転送します。

敵は、ターゲットシステムに悪意のあるバッチスクリプトを配信するためのソフトウェアデプロイメントツールであるPDQを使用します。このバッチスクリプトは、複数のWindows製品のプロセスを終了する機能を含む広範な機能を持ち、Windowsエラー回復やWindowsアップデートを禁止したり、セキュリティソフトウェアの安全な起動の実行を禁止したり、新しい管理者アカウントを作成したり、感染の拡散のための悪意のあるコードを実行することができます。

サイバーセキュリティ業界に関連するイベントに関する最新情報は、 SOC Primeブログをフォローしてください。あらゆる検出コンテンツを配信し、共同サイバー防御を促進するための信頼できるプラットフォームを探している場合は、 SOC Primeのクラウドソーシングプログラム に参加し、SigmaとYARAルールをコミュニティと共有し、サイバーセキュリティの分野でポジティブな変化を促進し、貢献に対して安定した収入を得ましょう！