ハッカーは、非常に人気のあるゲームでアンチチート システムを悪用しています。影響を受けるためにコンピュータにアンチチート システムがインストールされている必要さえありません。
問題のゲームは と呼ばれており、新しいレポートによると、ハッカーはゲームのチート対策対策を利用して、ターゲットマシン上のウイルス対策プログラムを無効にすることができます。そこから、彼らは自由にランサムウェア攻撃を実行し、デバイスを制御することができます。
トレンドマイクロは、 この新しいハッキングに関する長いレポートを作成し、その仕組みを詳細に説明しました。この攻撃は、「mhypro2.sys」という 原神 ドライバーを使用して実行できます。前述したように、ゲームは対象のデバイスにインストールする必要はありません。モジュールは独立して動作でき、実行するためにゲームは必要ありません。
研究者らは、2022 年 7 月以降、攻撃者がこの脆弱性を利用してランサムウェア攻撃を行っている証拠を発見しました。ハッカーが最初にどのようにしてターゲットにアクセスできるのかは不明ですが、一度侵入すると、 原神インパクト ドライバーを使用できるようになります。コンピューターのカーネルにアクセスするため。通常、カーネルはシステム内で起こるすべてを完全に制御できるため、攻撃者がカーネルにアクセスできると悲惨です。
ハッカーは、管理者の資格情報を盗み出すのに役立つ「secretsdump」と、Windows 独自の Management Instrumentation ツールを通じてコマンドをリモートで実行する「wmiexec」を使用しました。これらは Impacket が提供する無料のオープンソース ツールであり、その気になれば誰でも手に入れることができます。
これにより、攻撃者はドメイン コントローラーに接続し、悪意のあるファイルをマシンに埋め込むことができました。これらのファイルの 1 つは「kill_svc.exe」と呼ばれる実行可能ファイルで、 原神インパクト ドライバーのインストールに使用されました。 「avg.msi」を影響を受けるコンピュータのデスクトップにドロップすると、4 つのファイルが転送されて実行されました。最終的に、攻撃者はコンピュータのウイルス対策ソフトウェアを完全に破壊し、ランサムウェア ペイロードを転送することに成功しました。
いくつかの問題の後、攻撃者は大規模展開を目的としてドライバーとランサムウェアをネットワーク共有に完全にロードすることができました。これは、同じネットワークに接続されているより多くのワークステーションに影響を与える可能性があることを意味します。
トレンドマイクロによると、 原神インパクトの 開発者は、2020 年の早い段階でゲーム モジュールの脆弱性について知らされました。それにもかかわらず、コード署名証明書はまだ存在しており、Windows はプログラムが安全であると認識し続けていることを意味します。
たとえベンダーがこれに応じてこの重大な欠陥を修正したとしても、その古いバージョンは依然としてインターネット上に残るため、脅威は残ります。セキュリティ研究者の Kevin Beaumont は、ドライバーから身を守るために次のハッシュをブロックするようユーザーにアドバイスしました: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 。
現時点では、 『原神』 の作成者はこれらの調査結果に返答していません。これは、最近の多くのサイバー攻撃のうちの 1 つにすぎず、新しいレポートによると、その件数は 昨年から 2 倍に増加しています 。