GigaWiperという名称で追跡されているGolangベースの高度なバックドアファミリーが確認されました。広範なC2制御機能と複数の破壊的ペイロードを融合させた点が特徴です。
GigaWiperが注目に値するのは、その破壊力だけではありません。これまで別々に存在していた複数のワイパーや恐喝ツールを、単一のモジュール型インプラントにまとめて実装している点にあります。
この統合により、攻撃者は物理ディスクのワイプ、ファイルを復元不能にする偽ランサムウェア、複数パスによる完全消去といった破壊モードを任意に切り替えながら、永続的なリモート制御アクセスを維持できます。
確認されている永続化の手口の一つは、一見単純なものです。このインプラントは「OneDrive Update」という名前のスケジュールタスクを作成し、HKCU\SOFTWARE\OneDrive\Environmentのレジストリキーを使って実行回数を追跡します。
初回実行時にこのキーを書き込み、毎分および起動時に実行されるよう設定されたOneDrive Updateスケジュールタスクを作成します。
2回目以降の実行ではこのレジストリ値を検知して増加させ、通常のスケジュールタスクの子プロセスであるかのように振る舞います。これは疑いを抱かれにくくすると同時に、Windowsの信頼されたスケジューラを悪用して永続的な破壊アクセスを確保するための運用上の工夫です。
スタンドアロン型のコンポーネントは、WMI経由で物理ディスクを能動的に列挙し、Windowsのインストールドライブを特定した上で、DeviceIoControl(IOCTL_DISK_CREATE_DISK)を用いてシステム以外のドライブからパーティションメタデータを削除します。さらに、先頭バイトをランダム化したバッファで生のディスクセクタを大きな単位で上書きし、即座に再起動を強制します。
バックドア内にはコマンド1(WipeMain)として同一の機能が組み込まれている一方、コマンド12(WipeCMain)はCドライブのみを対象とした複数パスの完全消去を提供します。
3つ目の破壊的コマンドはCrucio由来のロジックを再現したもので、ランダムに生成した(保存されることのない)鍵でファイルをAES-CBC方式により暗号化する「ランサムウェア」ルーチンとなっています。被害者のファイル名を.candy拡張子にリネームし、実用的な復元手段は一切残しません。実質的には恐喝を装ったワイパーです。
Microsoft Threat Intelligenceの特定によれば、GigaWiperは主に2つの検体形態で確認されています。コンパクトなスタンドアロン型ワイパーと、そのスタンドアロン型のコードをコマンドとして取り込んだ、より大規模なGolang製PEバックドアです。
GigaWiperはOneDrive Updateを悪用
C2および運用テレメトリの機能は充実しています。GigaWiperはコマンド配信にAMQP経由のRabbitMQを、ステータスおよび出力の報告にRedisを使用します。
ワイパーのmain.mainルーチンは、バックドア内ではrabbit_tools_tool_wipe_main.WipeMain関数として実装されています。
このインプラントは、C2エンドポイントと認証情報を含むハードコードされたAES保護済み設定情報を復号します。確認されたインフラストラクチャの中には、非標準ポートを使用する185.182.193[.]21のようなアドレスが含まれていました。

RabbitMQの設計では、ブロードキャストコマンド用に「All」という名前のファンアウト・エクスチェンジを、対象を絞ったタスク用に「Topic」というトピック・エクスチェンジを使用しており、コマンドは構造化されたTaskオブジェクトとResultオブジェクトとしてモデル化されています。
このメッセージング方式により、多数の感染ホストにまたがる制御を拡張しつつ、必要に応じてホスト単位でのターゲティングも可能にしています。
GigaWiperは、ワイプ機能や偽ランサム機能に加えて、幅広いリモートアクセス・システム管理機能を実装しています。プロセスおよびサービスの管理、レジストリの操作と永続セッション、MinIOクライアント経由のファイルアップロード、スクリーンショットおよび画面録画、キーロガーおよびVNCライクなリモート制御、イベントログの消去などです。

コードの重複や共通する文字列から、GigaWiperは少なくとも3つの既存ファミリーと関連付けられています。スタンドアロン型ワイパー、Crucioに類似した恐喝コード(BigBangExtortMain)、そしてFlockWiperです。FlockWiperについては、WipeCMainとして組み込むためにCからGolangに移植されています。
「GRAT」という文字列を含むPDBパスの痕跡も、これらのコンポーネント同士を結び付ける手がかりとなっており、複数の反復開発において共通の開発者ないしフレームワークが存在することをうかがわせます。
防御側は、特定済みのC2インフラストラクチャの遮断、改ざん防止機能と常時稼働のEDRの導入、そして非特権コンテキストからの不正なスケジュールタスク作成やレジストリ改変の防止を優先すべきです。
アンチウイルスとマルウェア
Microsoftは、GigaWiperに関する勧告およびDefenderのテレメトリにおいて、検知手法と緩和策を公開しています。各組織はこれらの侵害指標をネットワークおよびエンドポイントの制御にマッピングし、クラウド提供型の保護機能を有効にして進化する亜種を捕捉すべきです。
GigaWiperのキャンペーンは、破壊的なツールが単機能のワイプから、モジュール型かつリモートで統率されるプラットフォームへと移行しつつあることを浮き彫りにしています。「OneDrive Update」スケジュールタスクのようなステルス性の高い永続化手法と、複数の交換可能なワイプ技術を任意に武器化できる能力を組み合わせているのです。
侵害指標(IoC)
| 指標 | 種別 | 説明 |
| 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 | SHA-256 | GigaWiperバックドア |
| ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 | SHA-256 | GigaWiperバックドア |
| f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd | SHA-256 | GigaWiperバックドア |
| 9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683 | SHA-256 | GigaWiperバックドア |
| 3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cd | SHA-256 | GigaWiperスタンドアロン型ワイパー |
| 440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3 | SHA-256 | Crucio |
| 12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721 | SHA-256 | FlockWiper |
| db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674 | SHA-256 | FlockWiper |
| 185.182.193[.]21 | IPアドレス | GigaWiper C2 |
| 212.8.248[.]104 | IPアドレス | GigaWiper C2 |
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再有効化はMISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。
2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめませんか — 2026年版AI SLA ベンダーチェックリストはこちら — 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/gigawiper-uses-onedrive-update/