正規ツールを悪用して複数のEDRを無効化 ランサムウェア「Crypto24」の最新手口：セキュリティニュースアラート

Trend Microはランサムウェアグループ「Crypto24」の高度な攻撃手法を分析した。正規ツールとカスタムマルウェアを悪用し、権限昇格やEDR無効化、データ流出などを多段階で実行する。詳細な手口の解説から取るべき対策をお伝えする。

[後藤大地，有限会社オングス]

　Trend Microは2025年8月14日（現地時間）、ランサムウェアグループ「Crypto24」に関する分析結果を発表した。同グループは正規ツールとカスタムマルウェアを組み合わせ、複数段階にわたる高度な攻撃を実行していると報告している。

　標的はアジアや欧州、米国の大手企業・組織とされ、金融や製造、エンターテインメント、テクノロジーといった分野に集中しているとしている。

Crypt24とは？　複数のEDR製品を正規ツールで無効化する巧妙な手口

　Trend Microの分析ではCrypto24は初期侵入後に「PSExec」や「AnyDesk」などの正規のリモートコードツールを使って横展開を実行し、権限昇格や持続的アクセスを確保することが確認されている。加えて、キーロガーによる認証情報窃取や「Google Drive」経由のデータ流出も実行しており、感染後も長期的な情報窃取が可能な体制を構築している。

　特に同グループがオープンソースソフトウェア（OSS）「RealBlindingEDR」を改造し、EDR（Endpoint Detection and Response）を無効化する事例が注目されている。このカスタムツールはGen Digital、Kaspersky、Sophos、Trend Micro、Malwarebytes、Bitdefender、Cisco Systems、McAfee、Fortinet、Citrixなどが提供する広範な製品を検出対象とし、特定ベンダーに依存しない攻撃を可能にしている。

　「Windows」の正規管理ユーティリティー「gpscript.exe」を悪用し、Trend Micro製の正規アンインストーラー「XBCUninstaller.exe」を遠隔で実行する手口も確認されている。ただし、このアンインストーラーに脆弱（ぜいじゃく）性はなく、攻撃者が管理者権限を奪取した後にのみ使用可能とされている。

　攻撃の流れとしては、まず既定の管理者アカウントを再有効化し、新規アカウントを作成する。これらを管理者グループに追加することで高権限を維持する。その後、コマンドラインツール「WMIC」やバッチファイルによるシステム調査を実施し、ストレージ構成やユーザー情報を収集。得られた情報を基にスケジュールタスクやWindowsサービス（「svchost.exe」を利用）を設定し、マルウェアやキーロガーを継続的に稼働させる。

　横展開段階では「PsExec」やRDPの設定変更、ファイアウォールルールの追加などを実行し、ネットワーク内の他端末へのアクセスを拡大する。また「termsrv.dll」を改変して複数同時にRDP接続が可能になるようにし、「TightVNC」を使って遠隔操作環境を強化した。

　最終的に「MSRuntime.dll」としてランサムウェア本体を展開し、暗号化と身代金要求に至る。Trend Micro製品は初期実行時にこれを阻止したが、攻撃者はその後、EDRのアンインストールを試み、再度実行に成功した事例があった。

　Trend Microは、この事案を環境寄生型（LOTL）戦術の典型例と位置付けている。正規の管理ツールや機能を悪用して不正活動を隠ぺいし、侵害後の行動を展開する手法で、適切な権限管理とセキュリティ制御が機能していれば阻止可能と指摘している。

　防御策としては、管理者アカウントの利用制限やRDPおよびPsExecの適正管理、スケジュールされたタスクやサービスの監視、EDRの自己防衛機能の有効化、不審なクラウドストレージ通信の検知などが推奨されている。加えて、ゼロトラストモデルの導入や定期的な権限監査、オフラインバックアップの検証、ユーザー教育の徹底も重要とされる。

　今回の分析は、Crypto24の活動が単なる暗号化型ランサムウェアにとどまらず、長期潜伏と防御回避を組み合わせた高度な作戦ということを示している。Trend Microは、類似の防御構成を持つ組織に対し即時の対策検討が必要と警告している。