B
今週中
アドウェアを装った悪意のあるソフトウェアが、世界中で25,000以上のエンドポイントを制御していたこと
📌 一言でいうと
アドウェアを装った悪意のあるソフトウェアが、世界中で25,000以上のエンドポイントを制御していたことが判明しました。このマルウェアは特権昇格したPowerShellを使用してセキュリティ製品を無効化し、永続性を確保して将来的なランサムウェアや情報窃取ツールの展開を可能にします。特に、わずか10ドルの未登録ドメインを取得するだけで、攻撃者がこれらの端末を完全に制御できる状態にあったことが大きな脅威となっています。
✅該当時の対応
セキュリティ製品の無効化設定や不審なスケジュール済みタスク、WMIイベントサブスクリプションを確認し、不審なドメインへの通信を遮断すること。また、特権昇格を伴うPowerShellの実行を監視・制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】アドウェアを装った高度なマルウェアによるエンドポイント制御の脅威について
お疲れさまです。標記の件に関する情報共有です。
■ 概要
Dragon Boss Solutions社が署名したソフトウェア(当初はアドウェア/PUPとして分類)が、特権昇格したPowerShellを用いてセキュリティ製品を無効化し、永続性を確保する高度なマルウェアへと進化していることが判明しました。攻撃者は特定のドメインを制御することで、世界中の25,000以上のエンドポイント(OTおよび政府ネットワークを含む)を遠隔操作できる状態にあったと報告されています。
■ 影響範囲
- Dragon Boss Solutions社製ソフトウェアがインストールされたWindowsエンドポイント
- セキュリティ製品の除外設定が不正に書き換えられた端末
■ 対応手順
1. 端末内における不審なスケジュール済みタスクおよびWMIイベントサブスクリプションの監査
2. Windows Defender等のセキュリティ製品における、意図しないディレクトリ除外設定の有無を確認
3. 特権昇格を伴うPowerShellの実行ログの監視および制限の強化
4. 不審な外部ドメインへの通信ログの確認と遮断
■ 参考情報
- Huntress Research / SecurityWeek
対応優先度: 高(速やかな確認と対応を推奨)
お疲れさまです。標記の件に関する情報共有です。
■ 概要
Dragon Boss Solutions社が署名したソフトウェア(当初はアドウェア/PUPとして分類)が、特権昇格したPowerShellを用いてセキュリティ製品を無効化し、永続性を確保する高度なマルウェアへと進化していることが判明しました。攻撃者は特定のドメインを制御することで、世界中の25,000以上のエンドポイント(OTおよび政府ネットワークを含む)を遠隔操作できる状態にあったと報告されています。
■ 影響範囲
- Dragon Boss Solutions社製ソフトウェアがインストールされたWindowsエンドポイント
- セキュリティ製品の除外設定が不正に書き換えられた端末
■ 対応手順
1. 端末内における不審なスケジュール済みタスクおよびWMIイベントサブスクリプションの監査
2. Windows Defender等のセキュリティ製品における、意図しないディレクトリ除外設定の有無を確認
3. 特権昇格を伴うPowerShellの実行ログの監視および制限の強化
4. 不審な外部ドメインへの通信ログの確認と遮断
■ 参考情報
- Huntress Research / SecurityWeek
対応優先度: 高(速やかな確認と対応を推奨)
Subject: [Security Advisory] High-Risk Malware masquerading as Adware (Dragon Boss Solutions)
Dear IT Administration Team,
We are sharing critical information regarding a sophisticated threat involving software signed by Dragon Boss Solutions.
■ Overview
Researchers have discovered that software previously categorized as a Potentially Unwanted Program (PUP/Adware) has evolved into a dangerous malware. It utilizes elevated PowerShell payloads to disable security products, block update servers, and establish persistence via five scheduled tasks and WMI event subscriptions. A single domain could potentially grant attackers control over 25,000+ endpoints, including those in OT and Government networks.
■ Scope
- Windows endpoints with Dragon Boss Solutions software installed
- Systems with unauthorized security product exclusions
■ Recommended Actions
1. Audit endpoints for suspicious scheduled tasks and WMI event subscriptions.
2. Review Windows Defender and other security tool exclusion lists for unauthorized directory additions.
3. Monitor and restrict PowerShell execution with elevated privileges.
4. Analyze network logs for communication with suspicious domains associated with this threat.
■ Reference
- Huntress Research / SecurityWeek
Priority: High (Prompt action is recommended)
Dear IT Administration Team,
We are sharing critical information regarding a sophisticated threat involving software signed by Dragon Boss Solutions.
■ Overview
Researchers have discovered that software previously categorized as a Potentially Unwanted Program (PUP/Adware) has evolved into a dangerous malware. It utilizes elevated PowerShell payloads to disable security products, block update servers, and establish persistence via five scheduled tasks and WMI event subscriptions. A single domain could potentially grant attackers control over 25,000+ endpoints, including those in OT and Government networks.
■ Scope
- Windows endpoints with Dragon Boss Solutions software installed
- Systems with unauthorized security product exclusions
■ Recommended Actions
1. Audit endpoints for suspicious scheduled tasks and WMI event subscriptions.
2. Review Windows Defender and other security tool exclusion lists for unauthorized directory additions.
3. Monitor and restrict PowerShell execution with elevated privileges.
4. Analyze network logs for communication with suspicious domains associated with this threat.
■ Reference
- Huntress Research / SecurityWeek
Priority: High (Prompt action is recommended)