原神インパクトランサムウェア感染：攻撃者がアンチチートドライバを悪用

人気のあるオープンワールドアクションRPG「原神」は、ランサムウェアを拡散するために利用されています。脅威アクターは、mhyprot2.sysという脆弱なアンチチートドライバを悪用し、ウイルス対策プロセスとサービスを終了させてランサムウェアを落とします。正当なドライバをルートキットとして使用し、敵対者は最初にターゲットマシンにランサムウェアを落として、感染を他のワークステーションに広げることを目指します。

ランサムウェアのエクスプロイトを検出

脆弱な原神のmhyprot2.sysドライバの悪用に関連する行動を特定するために、経験豊富な脅威バウンティ寄稿者が提供した以下の脅威検出コンテンツを利用してください。 カーン・イェニヨル and アイクット・ギュルセス:

ランサムウェア活動における原神アンチチートドライバの検出

The Sigmaベースのルール は MITRE ATT&CK®フレームワーク v.10に参照されており、SOC Primeのプラットフォームがサポートする26のSIEM、EDR、およびXDRソリューションで適用できます。

Threat Detection Marketplaceは、検証された130,000を超える検出コンテンツをホストしており、検出、アラート、ハンティングクエリ、プレイブックが含まれています。毎月約140の新しい検出が追加されます。 「Detect & Hunt」 ボタンをクリックして、可能なランサムウェアのエクスプロイトを特定するための専用の高品質な検出コンテンツにアクセスします。洞察に満ちたコンテキスト情報については、 「Explore Threat Context」 ボタンをクリックして、包括的なメタデータを伴う関連するSigmaルールのリストに深く進んでください—登録は必要ありません。

「Detect & Hunt」 「Explore Threat Context」

インシデント分析

Trend Microの研究者によると、 最も高い関心を集める脅威アノテーション は、ランサムウェアのアクターによるロールプレイングゲーム「原神」の最近の悪用を詳細に説明しています。研究データによると、脅威アクターはゲームのアンチチート機能に責任のある脆弱なコード署名されたドライバを利用します。ゲームのアンチチートシステムの中のドライバmhyprot2.sysを悪用することで、ランサムウェアのアクターはシステム特権を回避し、カーネルモードからのコマンドを実行してエンドポイント保護プロセスを終了することができます。

また、この脆弱性は約2年間存在していたことが明らかにされ、未だに修正されていないことが報告されています。

7月には、いくつかの 重要な改善 をSOC PrimeのThreat Bounty Programに導入しました。サイバー世界で最も多作な検出コンテンツ開発者プログラムについて詳しく知り、SOC Primeと共に業界のリーダーの中にその地位を守りましょう。