Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?

Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion

2022/03/01 TheHackerNews — 月曜日に Microsoft は、ロシアがミサイル攻撃を開始する数時間前に、ウクライナのデジタル・インフラに向けられた攻撃的で破壊的なサイバー攻撃の、新しいラウンドを検出したと表明した。Microsoft Threat Intelligence Center (MSTIC) によると、この攻撃には FoxBlade と呼ばれる新しいマルウェアが使用されており、発見から3時間以内にマルウェア対策サービス Defender に新しいシグネチャを追加し、この攻撃を検出したとのことだ。

Microsoft の President and Vice Chair である Brad Smith は、「最近に発生した現在進行中のサイバー攻撃は、正確に標的を定めており、2017年の NotPetya 攻撃でウクライナの経済や国境を超えて拡散した、無差別攻撃型のマルウェア技術の使用は確認されていない」と述べている。

FoxBlade について、イニシャル・アクセス/モードなどの技術仕様は不明だが、Microsoft は Security Intelligence アドバイザリーで、「このトロイの木馬は、あなたの PC を、知らないうちに分散サービス妨害 (DDoS) に使用できる」と述べている。

さらに、このトロイの木馬の配信は、感染したマシンにマルウェアを取得/インストールする、第二段のダウンローダー・モジュールにより攻撃を推進するようだ。

今回の発表は、悪質なデータ・ワイパーから DDoS 攻撃にいたるまでの、ウクライナの政府や銀行の Web サイトへのサイバー攻撃が続く中、米国の CISA が国境を越えた攻撃について警告を発したことを受けて行われたものだ。

CISA は、「破壊的なマルウェアは、組織の日常業務に直接的な脅威を与え、重要な資産やデータの可用性に影響を与える可能性がある。ウクライナ国内の組織に対する破壊的なサイバー攻撃が、さらに発生する可能性があり、意図せず他国の組織にも波及する可能性がある」と述べている。

更新:Microsodt が FoxBlade として追跡しているマルウェアは、HermeticWiper (別名 KillDisk) と呼ばれているデータ・ワイパーと同じものである。

HermeticWiper という名前が登場したのは、2月23日の「ウクライナで発見されたデータ消去マルウェア:ロシアによる侵攻と連携か?」というポストになります。その後、2月24日には「ウクライナをサイバー侵害するロシア:ランサムウェアを囮にしたワイパー攻撃」が、2月25日は「ウクライナ軍部を狙うフィッシング・キャンペーン:ベラルーシ当局によるものと判明」が、このワイパー・マルウェアに触れています。データを消去するという破壊的なマルウェアの亜種が、FoxBlade ということなのでしょう。→ Ukraine まとめページ

%d bloggers like this: