最近人気が急上昇している Akira ランサムウェアは、最近ではハッカーによって正規の Intel CPU チューニング ドライバーと組み合わせて使用され、Microsoft Defender を無効化する目的でも使用されています。
Bleeping Computer の報告によると、攻撃者はカーネルレベルのアクセスを取得するためにドライバーをサービスとして登録しているとのこと。
悪用されているIntel CPUドライバーはrwdrv.sys(ThrottleStopが使用)であり、セカンダリドライバー(hlpdrv.sys)のロードに使用されている可能性があります。このセカンダリドライバーは、Microsoft Defenderの保護機能を無効化させる悪意のあるツールです。
こうしたタイプの攻撃は、しばしばBYOVD(Bring Your Own Vulnerable Driver)と呼ばれます。これは、脅威アクターが既に正規の署名済みドライバを所有しているにもかかわらず、権限昇格に悪用可能な既知の脆弱性を悪用している場合に利用されるからです。そして、上記のドライバの場合と同様に、悪意のあるツールを読み込んだり、ウイルス対策ソフトウェアを無効化したりするために利用されます。
この悪意ある動作を目撃したと報告したGuidepoint Securityの研究者によると、2つ目のドライバが実行されると、レジストリ内のMicrosoft DefenderのDisableAntiSpyware設定が変更されるという。このマルウェアはregedit.exeの実行を通じてこれを実行する。
Guidepoint Securityの研究者は、これらの攻撃の防御とブロックに役立つYARAルール、完全な侵入痕跡(IoC)、サービス名、ファイルパスを提供しています。さらに、システム管理者にAkira関連のアクティビティを監視し、兆候が現れたらフィルターやブロックを適用することを推奨しています。また、悪意のあるサイトや偽装サイトは、このようなマルウェアを拡散させる手段としてますます一般的になっているため、ソフトウェアは公式サイトや信頼できるソースからのみダウンロードすることを推奨しています。
ハッカーが攻撃に正当なセキュリティツールを悪用する方法を見つけるのは常に憂慮すべきことですが、幸いなことに、この試みはすぐに発見され、この攻撃が大きな損害を与える前に早期に修正が考案されました。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
Google ニュースで Tom's Guideをフォローすると、最新のニュース、ハウツー、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Guideのその他の記事
- ハッカーは偽のTikTokショップを使って金銭を盗み、マルウェアを拡散している。騙されないように注意しよう
- AIトレーニングからVPNの禁止まで、オンライン安全法についてインターネットが問う8つの疑問
- 陪審員、Metaが女性の健康アプリFloから違法にデータを収集していたと認定 — 知っておくべきこと
4件中4件を表示
フィルター☰
アンバー・ブーマンは、Tom's Guideのシニアセキュリティエディターとして、ウイルス対策ソフトウェア、ホームセキュリティ、個人情報窃盗などについて執筆しています。彼女は長年、オンラインとオフラインの両方における個人のセキュリティに関心を持ち、格闘技と刃物にも造詣が深いです。20年以上にわたるテクノロジージャーナリズムの経験を持つアンバーは、PC World、Maximum PC、Tech Hive、Engadgetなど、スマートフォンからスマート搾乳器まで、あらゆるトピックを網羅した記事を執筆しています。
