セキュリティ上の欠陥により、 ランサムウェア 集団がシステム上でウイルス対策プログラムが適切に実行できないようにすることができました。
Bleeping Computer が報告した ように、BlackByte ランサムウェア グループは、RTCore64.sys ドライバーに関連する新たに発見された手法を利用して、1,000 を超える正規のドライバーを回避しています。
そのため、そのようなドライバーに依存するセキュリティ プログラムは侵害を検出できず、この手法自体が研究者によって「Bring Your Own Driver」と呼ばれています。
/hacker-with-laptop-922359280-5c32d4a546e0fb00011bb991.jpg)
ドライバーがハッカーによってオフにされると、複数のエンドポイントの検出と応答 (EDR) が欠如しているため、ドライバーは気づかれずに動作する可能性があります。脆弱なドライバーは有効な証明書を介して検査に合格することができ、PC 自体に対して高い特権も備えています。
サイバーセキュリティ企業ソフォスの研究者は、ランサムウェア集団の標的となっている MSI グラフィックス ドライバーが、ユーザー モード プロセスを通じてアクセスできる I/O 制御コードをどのように提供しているかを 詳しく説明してい ます。ただし、この要素はカーネル メモリ アクセスに関する Microsoft のセキュリティ ガイドラインに違反します。
このエクスプロイトにより、攻撃者はシステムのカーネル メモリ内でコードを自由に読み取り、書き込み、実行できるようになります。
ソフォスによれば、BlackByte は研究者によってハッキングが分析されないように、当然のことながら検出を避けることに熱心であると述べています。同社は、攻撃者がシステム上で実行されているデバッガを探して終了することを指摘しています。
さらに、このグループのマルウェアはシステムをスキャンして、Avast、Sandboxie、Windows DbgHelp Library、Comodo Internet Security に接続されている潜在的なフック DLL を探します。検索で何かが見つかった場合、BlackByte はその機能を無効にします。
脅威アクターが使用する手法は高度な性質を持っているため、ソフォスは、脅威アクターがセキュリティ製品をバイパスするために正規のドライバーを悪用し続けると警告しました。以前、「Bring Your Own Driver」手法が北朝鮮のハッカー集団 Lazarus によって使用されていることが確認されており、これにはデルのハードウェア ドライバーが含まれていました。
Bleeping Computer は、システム管理者が対象となっている MSI ドライバー (RTCore64.sys) をアクティブなブロックリストに追加することで PC を保護する方法を強調しています。
BlackByteのランサムウェアへの取り組みは2021年に初めて明らかになり、FBIは政府に対する特定のサイバー攻撃の背後にハッカー集団がいると強調した。