医療機関を標的としたHunter Ransom Groupによる攻撃：AD GPOとBYOVD悪用による権限昇格攻撃分析

台湾医療機関でランサムウェア攻撃被害が発生。CyCraftはHunter Ransom Groupの犯行と認識。医療機関へのサイバー攻撃は深刻化している。

近年、医療機関を標的としたサイバー攻撃が多発しており、その手口も巧妙化しています。 この度、CyCraftは、Hunter Ransom Groupによる台湾医療機関を標的としたランサムウェア攻撃について考察しました。

　攻撃者は、企業ネットワークに侵入後、SharpGPOAbuseを悪用してMicrosoft AD GPOを乗っ取り、Domain内部に拡散してシステムファイルを暗号化するという手口を用いています。ハッキングされた部署の多くは、アカウントやパスワードなどのデジタル資産がすでに外部に露出しており、AD権限の設定ミスや、人手不足も相まって、事態の発見が間に合わず、患者のデータや医療業務に大きなリスクをもたらしました。

　さらに、攻撃者はBYOVD（Bring-Your-Own-Vulnerable-Driver）と呼ばれる権限昇格攻撃技術を採用しています。具体的には、Zemana Driver（元々は悪意のあるソフトウェア対策ツールZAMの正規デジタル署名付きドライバー）の脆弱性を悪用し、システム権限昇格攻撃（MITRE ATT&CK ID: T1068, Exploitation for Privilege Escalation）を実行します。この攻撃手法により、従来のウイルス対策ソフトウェアによる検知と防御を回避し、最終的にファイルを暗号化して重大な損害をもたらします。

このようなBYOVD攻撃手法は、今回が初めてではありません。

　CyCraft XCockpit Endpoint は2023年に同様の攻撃手法を検知・防御し、多くのハイテク企業をこの攻撃から守りました。弊社のEDRをご利用のお客様はぜひご安心ください。

‍

‍

　以下は、この医療機関のセキュリティ・インシデントにつながったマルウェア情報です。

‍

緩和策の推奨事項

1. Hashをエンドポイント防御設備に追加し、棚卸し及び削除を行う
2. AD GPOポリシーに許可されていないポリシーが追加されていないか確認する
3. AD上のドメイン高権限アカウントのアクティビティを監視する
4. 対外サービス提供ホストの脆弱性修正を確実に行う
5. Windows HVCI（Hypervisor-Protected Code Integrity）を有効にして、未承認のドライバーの読み込みを阻止するか評価する
6. CyCraft XCockpit Endpoint (EDR) を導入し、脅威をリアルタイムに検出し、攻撃阻止ができる

‍

まとめ

　今回ハッキングされた組織はCyCraftのユーザーではありません。今回のインシデントを受け、CyCraft台湾本社では医療機関のセキュリティ保護を強化するため、XASMワンタイムサービスの提供を開始しました。

　XASMサービスのAI分析機能を通じて、侵害されたアカウント、標的とされたデバイス、侵入後のハッカーのラテラルムーブメントの攻撃内容など、ランサムウェア攻撃が可能な経路を予測することができ、医療機関の効果的な事前対策を支援し、セキュリティリスクを低減することができます。

‍

CyCraft XASM（Extended Attack Surface Management）ワンタイムサービスとは

1. ランサムウェア攻撃リスクの棚卸し：ダークウェブ上のデジタル資産のエクスポージャー分析（EASM）ハッカーは、ランサムウェア攻撃の前段階として、ダークウェブ上で流出したアカウント、パスワード、システムの脆弱性情報を取引しています。 本サービスでは、ダークウェブでの取引状況をスキャンし、その医療機関に関連する機密情報の流出の有無を特定し、クレデンシャルスタッフィングのリスクや脆弱なパスワードなどの潜在的なリスクがないかを評価します。そして、攻撃を受ける可能性を低減するための対策案を提供します。
2. ランサムウェア攻撃の踏み台の削除： 未知のAD攻撃パスの検出（IASM）ランサムウェア攻撃は、Active Directory（AD）内部の権限設定の間違いや潜在的な脆弱性を利用して水平移動し、感染拡大を加速させることがよくあります。本サービスでは、病院のAD環境の構造を検査し、ハッカーが悪用する可能性のある隠れた攻撃パスを見つけ出し、イントラネット内でのマルウェアの拡散を防ぐための提案を行います。
3. ランサムウェア攻撃を防ぐCyCraftは、包括的なセキュリティ攻撃サーフェス評価を通じて、医療機関が重要システムのセキュリティを最適化するための効果的な保護メカニズムを確立することを支援します。これにより、ハッカーがランサムウェア攻撃を仕掛ける前に事前にそのリスクを排除でき、データの盗難や身代金目的の暗号化を回避できます。

今後日本においてもサービス提供開始に向け準備を進めています。医療機関のセキュリティ向上、XASMサービスにご興味のある方は、CyCraft (contact-jp@cycraft.com)までご連絡ください。

‍

参考資料

• Hunter (.Hunter) ransomware virus - removal and decryption options
• Understanding Prince Ransomware: A Comprehensive Overview

技術的なご相談がございましたら、弊社までお気軽にお問い合わせください。

‍