攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。
トレンドマイクロの研究者クリストファー・オルドネス氏とアルビン・ニエト氏は2022年5月、同社公式ブログでエントリ(投稿)を公開した。このブログエントリが紹介するのは、Avast Software(2021年にNortonLifeLockが買収を発表)のマルウェア対策ソフトウェアを無効化する攻撃の手口だ。
ブログエントリによると攻撃者集団AvosLockerはまず、標的企業にある脆弱(ぜいじゃく)なエンドポイントを調査。そのエンドポイントと通信するサーバを、自分たちの攻撃用サーバに設定した。具体的には、ログ出力ライブラリ(プログラム部品群)「Apache Log4j」の脆弱性「Log4Shell」が存在するエンドポイントを標的とした。
AvosLockerは標的企業にある、ID・アクセス管理システム「Active Directory」サーバにアクセスして新規のユーザーアカウントを作成し、標的システムにおける操作権限を入手した。それからコマンド実行ツール「PowerShell」のスクリプトを使用して、リモートデスクトップツール「AnyDesk」などのツールをダウンロードし、標的システムへのリモートアクセスを可能にした。今回見つかったPowerShellスクリプトはこの後、Avast Softwareの正規のルートキット対策ドライバを使用してセキュリティ製品を無効化するようになっていた。
標的企業のネットワークに侵入した後、AvosLockerは正規のツールと機能を悪用して攻撃を遂行し、痕跡を隠した。オルドネス氏とニエト氏はブログエントリで「今回は、AvosLockerがAvast Softwareのドライバを研究し、他ベンダーのセキュリティ製品を無効化する手段として悪用した」との見解を示す。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...
Googleの独占市場が崩壊? 迫られるChrome事業分割がもたらす未来のシナリオ
本記事では、GoogleがChrome事業を分割した後の世界がどのようなものになるのか、そして...
ノンアルクラフトビールが急成長! 米新興ブランドのCMOはなぜ「大手の市場参入を歓迎」するのか?
Athletic BrewingでCMOを務めるアンドリュー・カッツ氏は、大手企業がノンアルコールビー...