ウクライナの重要インフラの一部が、PathWiperと呼ばれるこれまで見たことのないデータワイパーマルウェアによって標的にされたと、Cisco Talosの新しい調査結果が示しています。
「攻撃は正当なエンドポイント管理フレームワークを介して行われ、攻撃者が管理コンソールにアクセスできた可能性が高く、その後、悪意のあるコマンドを発行し、接続されたエンドポイント全体にPathWiperを展開するために使用された」と、研究者のJacob Finn、Dmytro Korzhevin、Asheer Malhotraが木曜日に発表された分析で述べています。
この攻撃は、観察された手法とウクライナに対する攻撃で使用された破壊的なマルウェアとの重複する能力に基づいて、ロシアに関連する高度持続的脅威(APT)アクターの仕業と評価されています。
Talosは、管理ツールのコンソールによって発行されたコマンドが、被害者のエンドポイントで実行されているクライアントによって受信され、その後、バッチ(BAT)ファイルとして実行されたと述べています。
BATファイルは、WindowsのTEMPフォルダにある「uacinstall.vbs」と呼ばれる悪意のあるVisual Basic Script(VBScript)ファイルを実行するコマンドで構成されており、これも管理コンソールを介してマシンにプッシュされました。VBScriptは、その一部として、同じフォルダに「sha256sum.exe」という名前でワイパーのバイナリをドロップし、実行しました。
「攻撃の過程を通じて、使用されたファイル名とアクションは、管理ユーティリティのコンソールによって展開されたものを模倣することを意図しており、攻撃者がコンソールの事前知識を持ち、被害者企業の環境内での機能を知っていた可能性があることを示しています」とTalosは述べています。
起動されると、PathWiperは物理ドライブ名、ボリューム名とパス、ネットワークドライブパスを含む接続されたストレージメディアのリストを収集するように設計されています。その後、ワイパーは記録されたすべてのパスに対してドライブとボリュームごとに1つのスレッドを作成し、アーティファクトの内容をランダムに生成されたバイトで上書きします。
具体的には、マスターブートレコード(MBR)、$MFT、$MFTMirr、$LogFile、$Boot、$Bitmap、$TxfLog、$Tops、$AttrDefを対象としています。さらに、PathWiperはランダム化されたバイトでファイルを上書きすることにより、ディスク上のファイルを取り返しのつかない形で破壊し、ボリュームのマウント解除を試みます。
PathWiperは、2024年2月にロシアのウクライナへの全面的な軍事侵攻と同時に検出されたHermeticWiper(別名FoxBlade、KillDisk、またはNEARMISS)といくつかの類似点を共有していることが判明しました。HermeticWiperマルウェアは、ロシアに関連するSandwormグループに帰属しています。
両方のワイパーはMBRおよびNTFS関連のアーティファクトを破壊しようとしますが、HermeticWiperとPathWiperは、特定されたドライブとボリュームに対するデータ破壊メカニズムの使用方法が異なることに注意が必要です。
「ワイパーマルウェアのバリアントの進化は、ロシア・ウクライナ戦争の長期化にもかかわらず、ウクライナの重要インフラに対する継続的な脅威を浮き彫りにしています」と研究者たちは述べています。
Silent Werewolfがロシアとモルドバを標的に#
ウクライナに対する新しいタイプのワイパーマルウェアの発見は、ロシアのサイバーセキュリティ企業BI.ZONEが、2025年3月にSilent Werewolfによって実施されたモルドバとロシアの企業にマルウェアを感染させる2つの新しいキャンペーンを発見したことに伴います。
「攻撃者は、C2サーバーから悪意のあるペイロードを取得するために2つの別々のローダーインスタンスを使用しました」と同社は述べています。「残念ながら、この研究の時点でペイロード自体は入手できませんでした。しかし、類似のSilent Werewolfキャンペーンの過去の分析により、脅威アクターがXDigoマルウェアを使用したことが示唆されています。」
攻撃の標的には、ロシアの核、航空機、計測、機械工学部門が含まれます。出発点は、ZIPファイルの添付ファイルを含むフィッシングメールであり、それを開くと、LNKファイルとネストされたZIPアーカイブが含まれています。2つ目のZIPファイルには、正当なバイナリ、悪意のあるDLL、おとりPDFが含まれています。
Windowsショートカットファイルを解凍して起動すると、ネストされたアーカイブの抽出がトリガーされ、最終的に不正なDLLが正当な実行可能ファイル(「DeviceMetadataWizard.exe」)を介してサイドロードされます。DLLはC#ローダー(「d3d9.dll」)であり、リモートサーバーから次の段階のペイロードを取得し、被害者におとり文書を表示するように設計されています。
「攻撃者はターゲットシステムでチェックを行っているようです」とBI.ZONEは述べています。「ターゲットホストが特定の基準を満たさない場合、Llama 2大規模言語モデル(LLM)がGGUF形式でhxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.ggufからダウンロードされます。」
「これにより、攻撃全体の包括的な分析が妨げられ、脅威アクターがサンドボックスなどの防御を回避することができます。」
サイバーセキュリティ企業は、同じ月にモルドバとおそらくロシアの不明なセクターを標的にした2つ目のキャンペーンを観察し、同じC#ローダーを使用しましたが、ランサムウェア攻撃から企業情報インフラを保護するための公式の休暇スケジュールと推奨事項に関連するフィッシング誘導を介して行われました。
BI.ZONEによれば、このサイバースパイグループは少なくとも2011年から活動しており、ロシア、ベラルーシ、ウクライナ、モルドバ、セルビアの幅広い企業を標的にしています。攻撃は、XDSpy、XDigo、DSDownloaderなどのマルウェアを配信するためのフィッシング誘導を使用することで特徴付けられています。
親ウクライナのハクティビストグループBO Teamがロシアを標的に#
最近数ヶ月、ロシアの国営企業や技術、通信、製造業を含む組織が、BO Team(別名Black Owl、Hoody Hyena、Lifting Zmiy)というコードネームの親ウクライナのハクティビストグループからのサイバー攻撃を受けていると言われています。
「BO Teamは、被害者に最大の損害を与えることと、金銭的利益を得ることを目的とした深刻な脅威です」とカスペルスキーの研究者は先週のレポートで述べており、脅威アクターが被害者のインフラを破壊する能力を持ち、場合によってはデータの暗号化や恐喝にまで至ることを詳述しています。
少なくとも2024年1月以来、ハクティビストクラスターによって行われた攻撃は、MythicやCobalt Strikeを含むポストエクスプロイトフレームワーク、正当なリモートアクセスおよびトンネリングツールを活用することが知られています。グループはまた、機密データにアクセスし、成功した攻撃についての情報をTelegramチャンネルBO Teamで公開する歴史を持っています。
ターゲットネットワークへの初期アクセスは、トラップが仕掛けられた添付ファイルを含むフィッシングメールを送信することで達成され、開かれると、DarkGate、BrockenDoor、Remcos RATのような既知のコモディティマルウェアファミリーを展開するために設計された感染チェーンが活性化されます。また、HandleKatzやNanoDumpなどのツールを使用してLSASSをダンプし、LSASSダンプを作成することも行われています。
リモートアクセスを武器にしたBO Teamは、ファイルのバックアップを破壊し、SDeleteユーティリティを使用してファイルを削除し、さらにWindows版のBabuk暗号化ツールをドロップして、アクセスを取り戻すための身代金を要求しています。
脅威アクターによって行われたその他の活動は以下にリストされています –
- スケジュールされたタスクを使用して持続性を設定する
- 検出を回避するために、システムまたはよく知られた実行可能ファイルに似た悪意のあるコンポーネント名を割り当てる
- ntdsutilを使用してActive Directoryデータベースを抽出する
- Telegram、実行中のプロセス、現在のユーザー、リモートRDPセッション、エンドポイントにインストールされているアンチウイルスソフトウェアに関する情報を収集するためにさまざまなコマンドを実行する
- WindowsおよびLinuxインフラ内で横移動を行うためにRDPおよびSSHプロトコルを使用する
- AnyDeskのような正当なリモートアクセスソフトウェアをコマンドアンドコントロールのためにドロップする
「BO Teamグループは、その攻撃の実施における型破りなアプローチのため、ロシアの組織にとって重大な脅威をもたらしています」とカスペルスキーは述べています。「ほとんどの親ウクライナのハクティビストグループとは異なり、BO TeamはBrockenDoor、Remcos、DarkGateのようなバックドアを含む幅広いマルウェアを積極的に使用しています。」
「これらの特徴は、グループの高い自律性と、親ウクライナのハクティビストクラスターの他の代表者との安定した接続の欠如を確認しています。BO Teamの公共活動には、他のグループとの相互作用、調整、またはツールの交換の兆候がほとんど見られません。これは、現在のロシアのハクティビストの風景の中でそのユニークなプロファイルを再び強調しています。」
翻訳元: https://thehackernews.com/2025/06/new-pathwiper-data-wiper-malware.html