AvosLockerは一人で使う

AvosLockerがあるPCに感染します。
そのとき、そのPCを使うのは、AvosLockerだけです。

AvosLockerは、次のように動作します。

• PDQ Deployを使ってバッチファイルを配布する
  PDQ Deployは自動パッチ管理の際に便利なソフトウェア配布ツールです。
• 「love.bat」、「update.bat」、「lock.bat」
  この名前のバッチファイルを配布し実行します。
• バッチファイルは次の作業を実施する
  • WindowsUpdateサービスとWindowsDefenderを無効にする
  • セーフモードで実行できる商用セキュリティソフトウェアソリューションのコンポーネントを無効にしようとする
  • 正規のリモート管理ツールAnyDeskをインストールする
    これにより、ネットワークに接続しているときにセーフモードで実行するように設定して、攻撃者によるコマンドと制御を継続できるようにします。
  • 新しいアカウントを作成し、ドメインコントローラーに接続する
  • リモートでドメインコントローラーで、update.exeという名前のランサムウェアを実行する

ちなみに、バッチファイルの実行に必要な時間は5秒程度のみのようです。
感染してしまってから対策をとるということは有効ではなさそうです。

これまで、セーフモードは、セキュリティソリューションに邪魔されない状態で暗号化するなどの目的でマルウェアに悪用されてきました。
今回は、セーフモードにおいてもそのマルウェアとマルウェアのオペレータだけはネットワークが使える状態にするという戦術が確認されています。
このような戦術はこれまでは確認されていません。

マルウェアは新しい実装だけではなく、新しい戦術が実装され続けています。
マルウェアがお金を集めやすいものである限り、この傾向は変わらないかもしれません。
防御側も陳腐化することを防ぐために、継続的に新しい取り組みを考えていく必要があるということでしょうか。

2021年12月29日から2022年1月4日まで、ほぼこもセキュリティニュースはお休みです。
よいお年をお迎えください。

参考記事（外部リンク）：AvosLocker Ransomware Uses AnyDesk in Safe Mode to Launch
Attacks, Sophos Reports
www.sophos.com/en-us/press-office/press-releases/2021/12/avoslocker-ransomware-uses-anydesk-in-safe-mode-to-launch-attacks.aspx