TDSKillerとLaZagneは、ともに脅威アクターに利用されているツールです。
RansomHubと呼ばれるランサムウェアギャングが、これらのツールを悪用した活動を展開しています。
- TDSKiller
TDSKillerは、元々はセキュリティ分野の正規のツールでした。
これは、特に検出が難しくて標準的なセキュリティツールを回避できる2種類のマルウェアであるルートキットとブートキットの存在をシステムでスキャンできるツールとして、Kasperskyが作成して公開していたツールでした。
ルートキットやブートキットといった方面のマルウェアは、システムの低レベルの機能を使用して活動します。
こういったアクティビティを検出して対応するために、TDSKillerには、ファイルアクセス、プロセス作成、ネットワーク接続などの活動を監視し制御できる機構が搭載されています。
しかし、TDSKillerはすでに過去のツールであり、現時点ではすでに公開はされていません。
脅威アクターは、このツールを侵害環境のセキュリティツールを無効化する用途で使用しました。
セキュリティツールはルートキットと似たようなものだろう、ルートキットを無効化できるツールを使えば、セキュリティツールも無効化できるだろう、という感じでしょうか。
この提供の終了されたセキュリティツールを、今度は脅威アクターが使っている状況になってしまったということになります。 - LaZagne
LaZagneはインフォスティーラー型マルウェアです。
基本的に、これは恐れる必要がありません。
現在の多くのセキュリティツールで検出して対応することができるものとなっているからです。
しかし、セキュリティツールがTDSKillerで無効化された状態でLaZagneを利用されると、どうでしょうか。
LaZagneは自由にその活動を展開することができる状態となってしまいます。
RansomHubは、これら2つのツールを組み合わせて利用してきました。
RansomHubは活動の注視される脅威アクターの一つですので、そのTTPはCISAからも公表されています。
しかし、この攻撃手法は公開済みのRansomHubのTTPにも記載がない新しいものとなっています。
攻撃者側の戦略と戦術は常に拡張更新されていくようです。
New RansomHub attack uses TDSKiller and LaZagne, disables EDR
https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/
| この記事をシェア |
|
|---|
