CaddyWiper という新たなデータワイパー:ウクライナのネットワークを攻撃

New CaddyWiper data wiping malware hits Ukrainian networks

2022/03/15 BleepingComputer — 今日の未明に発生した、ウクライナの組織を標的とした攻撃で、侵入されたネットワーク上のシステム全体のデータが削除されたが、そこで発見されたのは新たなデータ破壊マルウェアである。ESET Research Labs は、「この新しいマルウェアは、接続されたドライブからユーザー・データやパーティション情報を消去する。ESET のテレメトリー測定によると、限られた組織の数十台のシステムで被害が確認されている」と述べている。

一般的な新たなデータ破壊マルウェアでは、展開された Windows ドメイン全体のデータを消去するように設計されているが、CaddyWiper では DsRoleGetPrimaryDomainInformation() 関数を介して、デバイスがドメイン・コントローラで有るか否かを確認するそうだ。もし、そうであれば、ドメイン・コントローラ上のデータは削除されない。つまり、攻撃された組織の、侵害されたネットワーク内部へのアクセスを維持しながら、他の重要なデバイスを消去し、業務に大きな支障をもたらすための戦術だと思われる。

また、非公開であるウクライナの組織のネットワークで発見された、マルウェア・サンプルの PE ヘッダーを解析したところ、このマルウェアはコンパイルされた当日に攻撃に投入されていたことが判明した。

ESET は、「CaddyWiper のコードは、HermeticWiper/IsaacWiper などの、既知のマルウェアと大きな類似性はない。私たちが分析したサンプルは、デジタル署名されていなかった。HermeticWiper の展開と同様に、CaddyWiper は GPO 経由で展開されていることが確認され、攻撃者が事前にターゲットのネットワークを制御していたことが示されている」と付け加えている。

CadddyWiper compilation date
CadddyWiper compilation date (ESET)

ウクライナに展開された今年4番目のデータワイパー

CaddyWiper は、2022年に入ってからウクライナ攻撃で展開された、4番目のデータワイパー・マルウェアである。ESET Research Labs のアナリストは、これまでに他の2つを、そして、Microsoft は3つ目を発見している。

ロシアのウクライナ侵攻が始まる前日の2月23日に ESET の研究者は、現時点で HermeticWiper として認識されるデータワイパー型マルウェアを発見し、ランサムウェアのデコイの組み合わせがウクライナを狙うために使用されたとしている。

また、IsaacWiper と名付けられたデータ・ワイパーと、HermeticWiper のペイロードをドロップするための HermeticWizard という新しいワームも発見され、ロシアがウクライナに侵攻した日に展開されたことが判明した。

また、Microsoft は1月中旬に、ランサムウェアに偽装された WhisperGate を、つまり、ウクライナ攻撃で使用されたワイパーも発見している。Microsoft の President and Vice-Chair である Brad Smith は、ウクライナの組織に対する破壊的なマルウェアによる、これらの継続的な攻撃は正確に標的を定めたものであると述べている。

これは、2017年にウクライナなどを襲った、世界規模の無差別マルウェア攻撃 NotPetya が、ロシアの GRU 傘下のハッキング・グループの、Sandworm アトリビューションであることと対照的だ。こうした破壊的な攻撃は、開戦直前にウクライナの Ukrainian Security Service (SSU) が表現したように、ハイブリッド戦争の大波の一部である。

ウクライナ侵攻が始まって以来、このデータワイパーと呼ばれるマルウェアに関するトピックが増えてきました。単なる破壊だけを目的としたマルウェアであり、コンピュータ・システム自体を破壊するものと定義されています。これまでに、2月23日の「ウクライナで発見されたデータ消去マルウェア:ロシアによる侵攻と連携か?」や、3月1日の「Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?」などの記事があります。よろしければ、Wiper で検索も、ご利用ください。→ Ukraine まとめページ

%d bloggers like this: