C
月内に
デジタル署名されたアドウェアツールが悪用され、数千台のエンドポイントでアンチウイルス機能を無効化するスクリプトが展開されました
📌 一言でいうと
デジタル署名されたアドウェアツールが悪用され、数千台のエンドポイントでアンチウイルス機能を無効化するスクリプトが展開されました。このキャンペーンは教育、公共事業、政府、医療などの重要セクターを含む124カ国に影響を及ぼしています。攻撃者はDragon Boss Solutions LLCという企業の署名済み実行ファイルを利用し、SYSTEM権限でペイロードを実行させていました。
✅該当時の対応
署名済みであっても不審なPUP(潜在的に不要なプログラム)の実行を制限し、エンドポイントでの特権昇格およびアンチウイルス無効化の挙動を監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】署名済みアドウェアを悪用したアンチウイルス無効化攻撃について
お疲れさまです。標記の件に関する情報共有です。
■ 概要
デジタル署名されたアドウェア(PUP)が、アンチウイルスソフトを無効化するスクリプトを配布するために悪用されていることが判明しました。攻撃者はDragon Boss Solutions LLCの署名済み実行ファイルを利用し、SYSTEM権限でペイロードを実行させています。世界124カ国で23,500台以上のホストが影響を受けており、重要インフラセクターへの浸透も確認されています。
■ 影響範囲
- 署名済みPUP(潜在的に不要なプログラム)を許可しているエンドポイント
- 特にDragon Boss Solutions LLCに関連するソフトウェアがインストールされた環境
■ 対応手順
1. EDR/SIEMにて、不審な署名済みバイナリによる特権昇格およびアンチウイルス機能の停止(Disable)挙動がないかログを確認してください。
2. 信頼できないベンダーによる署名済みソフトウェアの実行を制限するポリシーの適用を検討してください。
3. 異常な外部C2サーバーへの通信が発生していないか、ネットワークトラフィックを監視してください。
■ 参考情報
- BleepingComputer: Signed software abused to deploy antivirus-killing scripts
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標記の件に関する情報共有です。
■ 概要
デジタル署名されたアドウェア(PUP)が、アンチウイルスソフトを無効化するスクリプトを配布するために悪用されていることが判明しました。攻撃者はDragon Boss Solutions LLCの署名済み実行ファイルを利用し、SYSTEM権限でペイロードを実行させています。世界124カ国で23,500台以上のホストが影響を受けており、重要インフラセクターへの浸透も確認されています。
■ 影響範囲
- 署名済みPUP(潜在的に不要なプログラム)を許可しているエンドポイント
- 特にDragon Boss Solutions LLCに関連するソフトウェアがインストールされた環境
■ 対応手順
1. EDR/SIEMにて、不審な署名済みバイナリによる特権昇格およびアンチウイルス機能の停止(Disable)挙動がないかログを確認してください。
2. 信頼できないベンダーによる署名済みソフトウェアの実行を制限するポリシーの適用を検討してください。
3. 異常な外部C2サーバーへの通信が発生していないか、ネットワークトラフィックを監視してください。
■ 参考情報
- BleepingComputer: Signed software abused to deploy antivirus-killing scripts
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [Security Advisory] Antivirus-killing scripts deployed via signed adware
Hi all,
This is a security notification regarding a campaign abusing digitally signed software to disable security protections.
■ Overview
Security researchers have identified a campaign where signed adware tools (PUPs) are being used to deploy payloads with SYSTEM privileges. These payloads are specifically designed to disable antivirus protections on endpoints. The campaign has affected over 23,500 hosts across 124 countries, including high-value targets in government, healthcare, and utility sectors. The software involved is signed by Dragon Boss Solutions LLC.
■ Scope
- Endpoints allowing the execution of signed PUPs (Potentially Unwanted Programs).
- Environments where software from Dragon Boss Solutions LLC is present.
■ Recommended Actions
1. Review EDR/SIEM logs for any unauthorized attempts to disable antivirus services or suspicious privilege escalation triggered by signed binaries.
2. Evaluate and tighten policies regarding the execution of signed software from untrusted or unknown vendors.
3. Monitor network traffic for connections to known malicious infrastructure associated with this campaign.
■ Reference
- BleepingComputer: Signed software abused to deploy antivirus-killing scripts
Priority: High (Prompt review of monitoring logs is recommended)
Hi all,
This is a security notification regarding a campaign abusing digitally signed software to disable security protections.
■ Overview
Security researchers have identified a campaign where signed adware tools (PUPs) are being used to deploy payloads with SYSTEM privileges. These payloads are specifically designed to disable antivirus protections on endpoints. The campaign has affected over 23,500 hosts across 124 countries, including high-value targets in government, healthcare, and utility sectors. The software involved is signed by Dragon Boss Solutions LLC.
■ Scope
- Endpoints allowing the execution of signed PUPs (Potentially Unwanted Programs).
- Environments where software from Dragon Boss Solutions LLC is present.
■ Recommended Actions
1. Review EDR/SIEM logs for any unauthorized attempts to disable antivirus services or suspicious privilege escalation triggered by signed binaries.
2. Evaluate and tighten policies regarding the execution of signed software from untrusted or unknown vendors.
3. Monitor network traffic for connections to known malicious infrastructure associated with this campaign.
■ Reference
- BleepingComputer: Signed software abused to deploy antivirus-killing scripts
Priority: High (Prompt review of monitoring logs is recommended)