Kaspersky の TDSKiller ツール:RansomHub が EDR の無効化で悪用

RansomHub ransomware gang relies on Kaspersky TDSKiller tool to disable EDR

2024/09/11 SecurityAffairs — TDSSKiller ツールを悪用するランサムウェア・グループ RansomHub が、EDR (endpoint detection and response) システムを無効化していることが、Malwarebytes ThreatDown の調査により判明した。サイバーセキュリティ企業 Kaspersky が開発する TDSSKiller は、ルートキットを削除するための正規ツールである。しかし、このツールを悪用することで、コマンドライン・スクリプトやバッチファイルを通じて、EDR ソリューションを無効化することも可能になる。さらに、RansomHub は、認証情報を収集するために、オープンソースのパスワード復旧ツールである、LaZagne も悪用していることが判明した。

Malwarebytes の MDR (Managed Detection and Response) チームが調査した事例では、RansomHub は LaZagne を悪用して 60個のファイル書き込みを達成し、抽出した認証情報のログを作成/収集した後にファイルを削除することで、認証情報の収集活動の痕跡を隠していたことが確認された。

Malwarebytes MDR のレポートには、「数年前から、TDSSKiller と LaZagne は攻撃者に悪用されてきたが、過去において RansomHub による悪用の事例はない。したがって、先日に CISA に発表した RansomHub に関する勧告には、同グループの TTPs は記載されていない。RansomHub による侵害では、”net1 group "Enterprise Admins" /do” などを介した初期の偵察と、ネットワーク管理者グループに対する調査の後に、それらのツールは展開されていた」と詳述されている。

RansomHub は、”-dcsvc” フラグを指定して TDSSKiller を悪用することで、重要なセキュリティ・サービスの無効化を試みていたが、その中には Malwarebytes Anti-Malware Service (MBAMService) を標的にするものもあった。それらのコマンドは、EDR サービスを無効化することで、セキュリティ・ソリューションの妨害を試みるものだ。

コマンドライン:”tdsskiller.exe -dcsvc MBAMService" と “-dcsvc” フラグの組み合わせは、特定のサービスを標的にするために使用されていた。以下は、MBAMService の無効化を試みている例である。

TDSSKiller

RansomHub は RaaS (ransomware as a service) の一種であり、複数の脅威アクターたちの活動で使用されている。Mustard Tempest による FakeUpdatesSocgholish 感染を介した初期アクセスに続いて、Manatee Tempest として追跡されている脅威アクターが、RansomHub を展開しているのを確認したと、Microsoft は報告している。

専門家たちは、RansomHub は Knight ランサムウェアのリブランド版であると見ている。Knight (別名:Cyclops 2.0) は 2023年5月に登場し、Windows/Linux/macOS/ESXi/Android などのプラットフォームを標的とする活動を展開し、RaaS の運用において二重恐喝モデルを用いていた。

Kaspersky ツールの悪用が観測されたのは、今回が初めてのケースではない。2023年7月には、LockBit が攻撃チェーンの一部として TDSSKiller の “-dcsvc” パラメータを使用していることが、Sangfor Cyber Guardian Incident Response チームから報告されている。

攻撃者たちは、セキュリティ・ソリューションを回避するために、合法的なツールを使用する。

Malwarebytes は、これらの攻撃の IoC (indicators of compromise) を共有し、以下を推奨している。

  • ネットワーク・セグメント化により重要なシステムを分離し、横移動を制限する。
  • TDSSKiller などの脆弱なドライバーを、監視/制限するロジックを実装することで、特に “-dcsvc” などの不審なコマンド ライン・フラグの使用を検出する。それらが実行されている場合には、BYOVD (Bring Your Own Vulnerable Driver) エクスプロイトを制限する。正規の使用を許可しながら、既知の誤用パターンを隔離/阻止することで、BYOVD 攻撃を防ぐことが可能となる。

Kaspersky のツールである TDSKiller が、RansomHub に悪用され、EDR の無効化が試行されているようです。この種のツールは、システムのコアにアクセスはずなので、EDR の無効化も容易に行えるのでしょう。その結果がもたらす、影響の形態は異なりますが、世間を騒がせている CrowdStrike 障害にも通ずるところがあります。よろしければ、カテゴリ LOLBin (Living off the Land Binary) も、ご利用ください。