Cisco Talos Intelligence Groupは8月28日(米国時間)、「BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks」において、ランサムウェアグループ「BlackByte」による最新のサイバー攻撃に関する調査結果を伝えた。以前は既知の脆弱性を悪用して初期アクセスを獲得していたが、最近はVPN(Virtual Private Network)への不正アクセスが確認されたという。

  • BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks

    BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks

脆弱性の対応速度

Cisco Talosによると、「BlackByte」は最近、初期アクセス獲得後にVMware ESXiの脆弱性「CVE-2024-37085」を悪用したという。この脆弱性を悪用すると、特定のActive DirectoryグループのメンバーにVMware ESXiホストに対する昇格された権限が付与可能で、仮想マシンの制御、ホストサーバの構成の変更、システムログ、診断、パフォーマンス監視ツールへのアクセスが可能になるとされる。

当初、この脆弱性はセキュリティコミュニティから注目されていなかった。しかしながら、BlackByteは公開から数日以内に攻撃に組み込んだとされる。これはBlackByteの脆弱性に対する理解力の高さと、攻撃に組み込む技術力の高さを示している。

新しい活動

Cisco Talosは、「BlackByte」の活動の過去と最近の違いとして、以下を挙げている。

  • 暗号化したファイルに拡張子「blackbytent_h」を使用する
  • この拡張子を使用する新しい暗号化ツールはBYOVD(Bring Your Own Vulnerable Driver)として4つの脆弱なドライバーを展開する。過去の事例では最大3つまで確認されている
  • ランサムウェアバイナリーに被害者に関連した特定のアカウント情報が埋め込まれている可能性がある。これはワーム機能を実現するために、標的に特化したバイナリーを生成している可能性を示している
  • 初期段階でIP アドレス「204.79.197[.]219」を介して「msdl.microsoft[.]com」と通信する
  • レジストリを操作してWindows Defenderを無効にする
  • システムフォルダ「C:\Windows\System32」からタスクマネージャー、パフォーマンスモニター、シャットダウンコマンド、リソースモニターを削除する

影響と対策

BlackByteのランサムウェアバイナリは開発言語がC#からGoを経てC/C++へと進化した。C/C++は高度な分析回避、デバック回避技術を組み込めることから、セキュリティソリューションを回避しようと努力した結果とみられている。

BlackByteの暗号化ツールはワーム(自己増殖)機能があり、BYOVDの使用と相まって防御を困難にする。しかしながら今回の分析において、埋め込まれたアカウント情報を使用して増殖していると考えられる活動が確認された。そのため、全ユーザーの資格情報とKerberosチケットのリセットが封じ込めに有効な可能性がある。

Cisco Talosはこれ以外にも複数の防御策を提案しており、VPNサーバおよびVMware ESXiを運用している管理者に防御策の実践を推奨している。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。