ウクライナ攻撃に新たな破壊型マルウェア、軍事侵攻に合わせて実行か

今回は「ウクライナ攻撃に新たな破壊型マルウェア、軍事侵攻に合わせて実行か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 スロバキアのセキュリティ企業のESETは現地時間3月1日、ウクライナ政府機関などを狙う新たな破壊型マルウェア「IsaacWiper」と、先に発見した「HermeticWiper」の解析状況について報告した。事前に周到な準備がなされた可能性があると指摘している。

 同社は、2月24日にWindowsマシンのマスターブートレコードを破壊してコンピューターを起動不能にするHermeticWiperの存在を報告。その後の解析でHermeticWiperは、目的を達成した後にディスク上にある自身のデータをランダムなバイトで上書きすることが判明した。

 さらに、「HermeticRansom」というランサムウェアがおとりとして用意され、これもHermeticWiperが存在した痕跡を隠すために使われていた。攻撃者がコンピューターにHermeticWiperが存在した痕跡を無くすことで、調査を妨害する狙いがあると見られている。

 また、HermeticWiperが「HermeticWizard」という独自開発されたワーム(ITシステム環境内で無尽蔵に拡散する不正プログラム)を利用して、侵入先の内部ネットワークに広がることも分かった。

 HermeticWiperには「Hermetica Digital」という企業の名称で有効なデジタルコード署名が付与され、正規アプリケーションのように見せかけていた。ESETによると、Hermetica Digitalはキプロスに登記されている企業で、デジタルコード署名がこの企業から盗み出されたものではないという。

 署名はDigiCertから2021年4月13日に発行されていた。HermeticWiperがコンパイルされたのは、少なくとも2021年12月28日と見られている。攻撃者は、ウクライナ関連機関にマルウェア攻撃を仕掛けるため、Hermetica Digitalという実態のない会社を作り、2021年4月の時点でDigiCertにデジタルコード署名を発行させた可能性があるという。ESETはDigiCertに、デジタルコード署名を直ちに無効化するよう要請した。

 こうした事実から同社で脅威調査の責任者を務めるJean-Ian Boutin氏は、攻撃者が事前に標的とする組織のActiveDirectoryのサーバーに侵入して、さまざまな情報を把握していた様子がうかがえると指摘している。

 一方のIsaacWiperは、HermeticWipeによる攻撃翌日の2月24日に、ウクライナ政府のネットワークに対して攻撃を行い、同25日には新バージョンのIsaacWiperが投入された。同社の分析では、当初のIsaacWiperでは一部のコンピューターを起動不能にさせることができなかったため、攻撃者が迅速にプログラムを修正した可能性があるという。

 攻撃者は、IsaacWiperを拡散させるためにリモートアクセスツールの「RemCom」を使用しているほか、システムへの侵入検査などに使われるセキュリティツールの「Impacket」を悪用することも分かった。なお、IsaacWiperがコンパイルされたのは、少なくとも2021年10月19日だったとしている。

 ESETは、ウクライナ政府機関を標的にする一連の破壊型マルウェアの攻撃者は特定できていないとしつつ、「HermeticWiperが複数のウクライナ組織を標的にしており、ロシアがウクライナに侵攻を開始する数時間前に実行された」と指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
二重恐喝ランサムウェア攻撃–サイバー犯罪者が狙うデータの種類
IT関連
2022-06-23 11:52
グーグル、「ゼロデイ攻撃」の分析結果と6つの推奨策を提示
IT関連
2024-04-17 04:30
三井住友トラスト総合サービス、「Bill One」を導入–グループ全体の生産性向上へ
IT関連
2023-09-09 19:00
Deel、「グローバル・ペイロール」提供–世界90カ国以上の従業員の給与計算を効率化
IT関連
2022-07-06 23:20
Linuxへの入門に最適な「Ubuntu Budgie」–シンプルで使いやすいUI
IT関連
2023-05-26 08:00
クアルコム、最新モバイルチップ「Snapdragon 8 Elite」を発表
IT関連
2024-10-23 21:06
ジャパンネット銀行、ゼロトラスト型のリモートアクセス環境を構築–クラウド型のID認識型プロキシーを活用
IT関連
2021-02-11 13:14
任天堂、京都に資料館を開設へ 宇治小倉工場を改装して23年度オープン 過去の商品など展示
くらテク
2021-06-03 05:04
シスコとSplunk、2025年の国内事業戦略を共同発表–セキュリティや可観測性などに注力
IT関連
2025-01-24 23:17
マイクロソフト、自社ビルドの「OpenJDK」プレビューをリリース
IT関連
2021-04-07 16:20
可用性や安全性を高めつつ、ソフトウェアをシンプルにすることは不可能だ。カオスエンジニアリングから継続的検証へ(中編)。JaSST'23 Tokyo基調講演
CI/CD
2023-04-24 05:03
丸和運輸機関、退職面談代行サービス「いっと」で人事戦略を強化
IT関連
2024-09-14 21:14
ポケモンGO、15日は「チルット」大量発生からの「メガチルタリス」登場 タマゴふか距離は4分の1に 
くらテク
2021-05-15 09:38
シャープ、法人向け情報漏えい抑制装置を発売
IT関連
2023-04-07 22:37