AvosLockerは一人で使う

ほぼこもセキュリティニュース By Terilogy Worx

AvosLockerがあるPCに感染します。
そのとき、そのPCを使うのは、AvosLockerだけです。

AvosLockerは、次のように動作します。

  • PDQ Deployを使ってバッチファイルを配布する
    PDQ Deployは自動パッチ管理の際に便利なソフトウェア配布ツールです。
  • 「love.bat」、「update.bat」、「lock.bat」
    この名前のバッチファイルを配布し実行します。
  • バッチファイルは次の作業を実施する
    • WindowsUpdateサービスとWindowsDefenderを無効にする
    • セーフモードで実行できる商用セキュリティソフトウェアソリューションのコンポーネントを無効にしようとする
    • 正規のリモート管理ツールAnyDeskをインストールする
      これにより、ネットワークに接続しているときにセーフモードで実行するように設定して、攻撃者によるコマンドと制御を継続できるようにします。
    • 新しいアカウントを作成し、ドメインコントローラーに接続する
    • リモートでドメインコントローラーで、update.exeという名前のランサムウェアを実行する

ちなみに、バッチファイルの実行に必要な時間は5秒程度のみのようです。
感染してしまってから対策をとるということは有効ではなさそうです。

これまで、セーフモードは、セキュリティソリューションに邪魔されない状態で暗号化するなどの目的でマルウェアに悪用されてきました。
今回は、セーフモードにおいてもそのマルウェアとマルウェアのオペレータだけはネットワークが使える状態にするという戦術が確認されています。
このような戦術はこれまでは確認されていません。

マルウェアは新しい実装だけではなく、新しい戦術が実装され続けています。
マルウェアがお金を集めやすいものである限り、この傾向は変わらないかもしれません。
防御側も陳腐化することを防ぐために、継続的に新しい取り組みを考えていく必要があるということでしょうか。

2021年12月29日から2022年1月4日まで、ほぼこもセキュリティニュースはお休みです。
よいお年をお迎えください。

参考記事(外部リンク):AvosLocker Ransomware Uses AnyDesk in Safe Mode to Launch
Attacks, Sophos Reports

www.sophos.com/en-us/press-office/press-releases/2021/12/avoslocker-ransomware-uses-anydesk-in-safe-mode-to-launch-attacks.aspx

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。