Makop ランサムウェア：インド企業への攻撃における GuLoader と特権昇格

著者: Ilia Dafchev、Darrel Virtusio

サマリー

Makop は、Phobos から派生したランサムウェアタイプであり、従来のツールキットに新たなコンポーネント（ローカル特権昇格エクスプロイトやローダーマルウェアなど）を追加しながら、無防備な RDP システムのエクスプロイトを続行します。
通常、この攻撃は RDP のエクスプロイトから始まり、ネットワークスキャナ、ラテラルムーブメントツール、特権昇格エクスプロイトのステージングを経て暗号化に至ります。また、攻撃者が設定されたセキュリティソリューションを回避できなければ攻撃を停止します。
攻撃者は、ネットワークスキャナ、AV キラー、数々のローカル特権昇格エクスプロイトといった既成ツールを有害なファイルネーミングと組み合わせて使用することで、検知を回避します。
さらに、セカンダリペイロードの配布を目的としてダウンローダー型のトロイの木馬である GuLoader も使用されており、セキュリティ対策を回避する多くの手法と他のマルウェア配布メカニズムの統合によって Makop 手法が進化を見せています。
攻撃の大部分（55%）はインド企業を標的としていますが、ブラジルやドイツなどの地域でもインシデントが報告されています。

はじめに

Makop は、2020 年頃に初めて確認されたランサムウェアタイプで、一般的には Phobos ファミリーの亜種として扱われています。最近、Acronis TRU の研究者は Makop オペレータの攻撃手法を詳しく把握するために複数の最新版ランサムウェアケースの詳細な調査を進めることで、Makop に関連する新たなアクティビティやツールを特定しました。

その結果、攻撃者は複雑性が低く、手間のかからない方法を好む傾向が判明しました。大半の被害者は RDP 経由で侵害を受けており、その後攻撃者はネットワークスキャナ、特権昇格を可能にするローカル特権昇格（LPE）エクスプロイト、AV キラー（脆弱なドライバなど）、プロセスターミネーター、ターゲット型インストール解除ソフトウェア、資格情報アクセスツール（Mimikatz など）、キルチェーンにおけるその他の手段など、ネットワークスキャンとラテラルムーブメントを可能にする既成ツールを活発に使用しています。

注目すべきは、一連のローカル特権昇格エクスプロイトとあわせて GuLoader の使用が複数のケースで確認されたことです。GuLoader は、2019 年後半に初めて発見されたローダー型マルウェアで、さまざまなセカンドステージマルウェアを配布することで有名です。このマルウェアは、AgentTesla、FormBook、XLoader、Lokibot などのマルウェアをドロップすることが判明しています。

Makop のプレイブック

一般的に、一連の Makop 攻撃は類似のパターンに従っています。ランサムウェアオペレータは、無防備に公開された安全性を欠くリモートデスクトッププロトコル（RDP）サービスをエクスプロイトすることで初期アクセスを取得します。通常、このオペレータはブルートフォース攻撃や辞書攻撃を利用して、脆弱な資格情報や使い回しの資格情報をクラッキングします。システム内部に侵入すると、攻撃者はネットワークスキャン、特権昇格、セキュリティソフトウェアの無効化、資格情報のダンピングを可能にするツールをステージングし、最終的に暗号化ツールを展開します。

初期ステージング段階に続き、攻撃者は、ネットワークスキャン、防御回避、特権昇格、ラテラルムーブメントへと進みます。ただし、これらのステップは特定の順序で行われるわけではありません。一部のインシデントにおいて、攻撃者はセキュリティソリューションにより自身のツールが検知されると攻撃を停止します。しかし、これらと同じツールの VMProtect パックサンプルを使用したセキュリティソリューションの回避、あるいは手動のインストール解除やハッキングツールの使用によるセキュリティソリューションの無効化といった巧妙な手口を見せることもあります。この時点でも失敗した場合は、攻撃を終了してその標的から退きます。

最近の攻撃で確認された、Makop オペレータによる実行チェーンは下図の通りです。

Makop のツールボックス

Makop のツールは、ネットワークにマウントされた RDP 経由のパス（「\\tsclient\」など）か、ユーザーの [ミュージック] ディレクトリ内にドロップされるケースが最も多く報告されています。一方、攻撃者が [ダウンロード]、[デスクトップ]、[ドキュメント] の各ディレクトリ、または [C:] ドライブのルートを使用するケースもありました。サブフォルダは、多くのケースで「Bug」や「Exp」と命名されていました。通常、暗号化ツールバイナリ自体でも bug_osn.exe、bug_hand.exe、1bugbug.exe、bugbug.exe、taskmgr.exe、mc_osn.exe、mc_hand.exe のいずれかのファイル名、およびこれらのファイル名の先頭にドットを付けた異表記形式（「.taskmgr.exe」など）が使用されます。

初期アクセス

Makop オペレータは、脆弱な RDP 資格情報をエクスプロイトして、被害者の環境に対するアクセス権を取得することで知られています。RDP は、組織の侵害においてサイバー犯罪者が好む標的となっています。その理由として、多くの組織がいまだに脆弱な資格情報を使用しており、多要素認証（MFA）を導入していないことから、ランサムウェアグループによる常套手段の 1 つ、ブルートフォース攻撃の標的となりやすいためです。

本調査において、私たちは特に NLBrute に注目しました。これは、2016 年にサイバー犯罪フォーラムで販売されていた旧式のハッキングツールです。NLBrute の出現から間もなく、NLBrute のクラックバージョンが登場し、サイバー犯罪者の間で広く使用されるようになりました。

NLBrute は、ブルートフォース攻撃（辞書攻撃やパスワードスプレー攻撃など）に使用する既知のユーザー名とパスワードのリストに加え、無防備な RDP に設定されたターゲット IP アドレス（多くの場合、デフォルトのポート 3389 ですが、カスタムされる場合もあります）のリストなどの情報を必要とします。RDP エクスプロイトは最も高度な侵入手法ではありませんが、現在もランサムウェア攻撃を可能にする極めて効果的な手法の 1 つです。Makop オペレータが RDP を介してアクセス権の取得に成功すると、組織のインフラにわたってラテラルムーブメントを開始し、その影響を最大化できるようになります。

ネットワークスキャンとラテラルムーブメント

ネットワークスキャンとラテラルムーブメントについては、複数のツールが弊社のテレメトリにも出現しています。NetScan が最も頻繁に使用され、Advanced IP Scanner がその他のケースにおける代替ツールとして機能していました。

Advanced IP Scanner は、ローカルネットワークをスキャンしてアクティブホストやオープンサービスを特定し、攻撃者によるラテラルムーブメントの標的マッピングを支援します。

脅威アクターは、これらのツールを Advanced Port Scanner や Masscan と組み合わせて、ポートスキャンツールとして使用していました。これらのツールは、ネットワークやインフラの一覧表示、および価値の高いホストやサービスの特定によるラテラルムーブメントアクティビティのサポートを目的として、脅威アクターの間で広く使用されています。さらに、これらのツールは高い効率性を発揮するだけでなく、正規管理者のアクティビティに紛れ込むことも可能です。

防御回避

Windows Defender を無効にする Defender Control や Disable Defender などのツールを含め、複数の AV キラーがオペレータによって使用されていたことが判明しました。どちらのツールも、Microsoft Defender の機能を一時的に無効にできる、軽量かつ効果的なツールです。

また、BYOVD 手法は hlpdrv.sys や ThrottleStop.sys などの脆弱なドライバを使用することで効果を発揮します。ThrottleStop.sys は、TechPowerUp が開発した ThrottleStop アプリケーション（CPU 調整の問題を監視・修正するユーティリティ）向けの署名付き正規版ドライバです。ThrottleStop の脆弱性（CVE-2025-7771）は、ドライバがメモリアクセスを処理するプロセスに起因します。攻撃者は、このプロセスをエクスプロイトして制御を取得し、最終的にはセキュリティツールを無効化してしまいます。

もう 1 つの脆弱なドライバとして、hlpdrv.sys があります。このドライバは、サービスとして登録するとカーネルレベルのアクセス権が取得され、EDR ソリューションを終了させる可能性があることが判明しています。どちらのドライバも、以前のランサムウェアキャンペーン（特に MedusaLocker、Akira、Qilin）で使用されていました。

また、この脅威アクターがカスタマイズされたインストール解除ソフトウェアを展開して Quick Heal AV を削除していたことも判明しました。Quick Heal AV は、Quick Heal Technologies（インド）が提供するウイルス対策・エンドポイントセキュリティ製品であり、一般ユーザーと企業顧客の双方にマルウェア対策を提供しています。

Quick Heal AV のアンインストーラ

カスタマイズされた Quick Heal AV アンインストーラの使用状況は、被害者が主にインドにいることを示す弊社のテレメトリデータと合致しています。こちらのターゲット型のセキュリティ解除は、攻撃者が標的となる被害者の地域に応じてツールキットの一部を調整していたことを示しています。

最後に、攻撃者は Process Hacker や IOBitUnlocker などのアプリケーションも悪用していました。どちらのアプリケーションも正規版ですが、脅威アクターによって悪用されると、容易にプロセスが終了し、プログラムが削除されます。

特権昇格

過去から現在に至る脆弱性開示にわたって、複数のローカル特権昇格（LPE）の脆弱性がエクスプロイトされてきました。

これらのケースで悪用された脆弱性は、Windows コンポーネント（BITS、Win32k、KS/SMB ドライバ、Windows インストーラ、ベンダー IOCTL など）のエクスプロイトにつながっています。Makop オペレータがこれらの特定の脆弱性を使用した理由として、すべての脆弱性で同一のプラットフォームを標的にできること、脆弱性の多くが武器化を容易にする PoC を公開していること、ランサムウェアの影響を最大化するにあたり、正に必要となるシステム特権を確実に付与できることがあげられます。また、エクスプロイトされた CVE の範囲は、ランサムウェアグループが 1 つのプリミティブでエラーが発生した場合のフォールバックに備え、ツールキットに複数の LPE プリミティブを保持していることを示しています。弊社のテレメトリでは、CVE-2017-0213、CVE-2018-8639、CVE-2021-41379、CVE-2016-0099 の各脆弱性が攻撃者によって最も頻繁に使用されていたことから、これらの脆弱性が攻撃の成功に関して高い信頼性を有し、効果的であることを示しています。

資格情報へのアクセス

攻撃者は、資格情報ダンパーツールとブルートフォース攻撃ツールを使用して機密データを収集します。つまり、Mimikatz、LaZagne、NetPass などのツールを利用して、保存されたパスワード、キャッシュ保存された資格情報、認証トークンを抽出します。また、ブルートフォースユーティリティ（CrackAccount や AccountRestore など）を使用して、別のアカウントに侵入します。盗まれた資格情報によってラテラルムーブメントが可能になり、攻撃者が被害者のインフラ内にある多くのシステムにアクセスできるようになることで、ランサムウェア被害が拡大することになります。多くのランサムウェアグループが同一パターンに従っていることから、これらのツールが攻撃者の目的を達成するうえで、いかに効果的であるかがわかります。

資格情報ダンピングツールの中では、Mimikatz が最も広く使用されています。このポストエクスプロイトツールにより、平文のパスワード、NTLM ハッシュ、Kerberos チケット、およびローカルセキュリティ機関（LSA）が管理する他の機密情報などの資格情報が Windows メモリから直接抽出されます。

一方、LaZagne は、アプリケーション間でローカルに保管された資格情報にフォーカスすることで、Mimikatz を補完します。このオープンソースツールは、ブラウザ、Wi-Fi プロファイル、E メールクライアント、データベース、Windows 資格情報ストアに対応します。

ネットワークパスワードリカバリ（NetPass）は、ネットワーク関連の資格情報を対象とし、マッピングされたドライブ、VPN 接続、リモートデスクトップセッション、その他の Windows ネットワーキング機能のパスワードをリカバリします。これにより、攻撃者はオペレーティングシステムによって保存されたパスワードへとすぐにアクセスできるようになります。

最後に、上記以外のブルートフォース攻撃ツール（AccountRestore など）は、ご紹介した資格情報ダンパーとは異なる機能を発揮します。これらのツールは、複数のパスワードの組み合わせをテストしてアカウントへのアクセス権を取得します。

GuLoader

上記のツールに加えて、GuLoader が他のツールと同じディレクトリにドロップされ、ペイロードのさらなる配布に利用された事例がありました。ランサムウェア暗号化ツールの展開を目的としたローダーの使用は、ランサムウェアグループにおける常套手段です。Qilin、Ransomhub、BlackBasta、Rhysida などのランサムウェアグループは、これまでのキャンペーンでローダーを活用してきましたが、Makop がローダーを介して配布されたケースは、今回初めて文書化されました。

GuLoader がシステムに正常にインストールされると、ペイロードを展開できるようになります。

ファイルパス

コマンドライン

説明

%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe

“%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe”

GuLoader の実行により、マルウェアをインストールするための VBS スクリプトがドロップされます。

%WINDIR%\System32\WScript.exe

"%USERPROFILE%\Music\1\BUG\67138435cf99c.vbs”

GuLoader のインストール

%USERPROFILE%\Music\1\BUG\.mc_fxt.exe

Makop ランサムウェア

%USERPROFILE%\Music\1\BUG\.mc_n1tro.exe

Makop ランサムウェア

%USERPROFILE%\Music\1\BUG\.mc_p1z.exe

Makop ランサムウェア

被害を受けた国

攻撃を受けた組織（Makop 攻撃全体の 55%）のうち、最も大きな割合を占めた国はインドで、ブラジルとドイツが続き、その他の国ではインシデントが単独で発生していました。この割合分布は、Makop が特定の国を標的にしているわけではなく、セキュリティ体制が脆弱な企業が狙われる可能性の高さを示していると考えられます。Makop オペレータは、初期のシステム侵入、その後の侵害、暗号化に必要な手間を減らす脆弱性を抱えたネットワークに狙いを定め、攻撃のチャンスを狙っています。

結論

Makop のランサムウェアキャンペーンにより、有名な脆弱性や欠陥のあるセキュリティ対策をエクスプロイトする攻撃者の脅威が浮き彫りになっています。攻撃者は、ネットワークスキャナからローカル特権昇格エクスプロイトにわたり、一連の既製ツールとあわせて無防備な RDP システムを悪用することで、手間をかけず高い効果を発揮するアプローチを実証しています。セカンダリペイロードの配布に GuLoader を使用したり、標的の地域に応じて手口を調整したりする統合的な手法により、組織が強固なセキュリティ対策（強力な認証や定期的なパッチ管理など）を導入する必要性がいっそう強まっています。

概して、安全性を欠く RDP などのどこにでも存在する侵入経路が重大な侵害につながるおそれがあると言えるでしょう。世界中の組織（特に既知のセキュリティギャップを抱える組織）は、ランサムウェアやその他のサイバー脅威対策を継続的に見直し、強化する必要があります。