Qilinランサムウェアグループが、Windows Subsystem for Linux (WSL) を悪用して、Linuxベースの暗号化ツールをWindowsシステム上で直接実行し、従来のセキュリティツールを回避していることが観測されました。この手法により、マルウェアはWindowsの動作に焦点を当てたエンドポイント検知・対応(EDR)製品による検知を回避できます。サイバーセキュリティ企業Trend MicroとCisco Talosが最近の研究でこの方法を詳述しました。
Qilinランサムウェアの活動は、2022年8月に「Agenda」として初めて現れ、翌月にQilinにリブランドされ、世界で最も活発なサイバー脅威の一つに成長しました。Trend MicroとCisco Talosの研究によると、このグループは2025年に62カ国で700人以上の被害者を標的にし、年間後半には毎月40人以上の新規被害者を公開しました。
Qilinの関係者は、通常、AnyDesk、ScreenConnect、Splashtopなどの正当なリモートアクセスツールを使用してネットワークに侵入し、CyberduckやWinRARなどのデータ抽出ソフトウェアを併用します。また、Microsoft Paint (mspaint.exe) や Notepad (notepad.exe) などのWindows組み込みユーティリティを活用して、機密情報をスキャンします。
暗号化ツールを展開する前に、攻撃者はBring Your Own Vulnerable Driver (BYOVD) 戦術でセキュリティソフトウェアを無効化します。彼らはeskle.sysのような署名付きだが脆弱なドライバーを展開してアンチウイルスとEDRプロセスを終了させ、DLLサイドローディングを使用してrwdrv.sysやhlpdrv.sysなどのカーネルドライバーをインストールし、特権を昇格させます。「dark-kill」や「HRSword」などのツールはさらに防御を無力化し、悪意ある痕跡を消去します。「Talosは、複数の方法を使用してEDRを無効化しようとする試みの痕跡を観測しました」とCisco Talosは説明しました。「広範に言えば、私たちはEDRの『uninstall.exe』を直接実行するコマンドや、scコマンドを使用してサービスを停止しようとする試みを頻繁に観測しています。同時に、攻撃者がdark-killやHRSwordなどのオープンソースツールを実行していることも観測されています。」
注目すべき進化は、QilinのLinux暗号化ツールに関するもので、2023年12月にVMware ESXi環境を標的にしたものとして初めて報告されました。Trend Microは、関係者がWinSCP経由でLinux ELF暗号化ツールを転送し、Windowsマシン上でSplashtopのSRManager.exeを通じて起動することを観測しました。ELFバイナリはWindows上でネイティブに実行できないため、攻撃者はWindows内でLinuxディストリビューションを実行するための組み込み機能であるWSLを有効化またはインストールしてペイロードを実行します。「この場合、脅威アクターはWindows Subsystem for Linux (WSL) を利用して、Linux暗号化ツールをWindowsシステム上で実行できました。これは、仮想マシンを必要とせずにLinuxバイナリをWindows上でネイティブに実行できる組み込み機能です」とTrend MicroはBleepingComputerに語りました。このアプローチはハイブリッド環境を悪用し、多くのWindows EDRツールがWSLの活動を見逃すため、より広範な回避を可能にします。