マイクロソフトが警告、GigaWiperはCrucioとFlockWiperのコードを統合した破壊的バックドア

マイクロソフトは、GigaWiperと呼ばれる新たな破壊的マルウェアプラットフォームについて警告を発しました。GigaWiperはGolangベースのバックドアで、攻撃者に永続的なアクセス、遠隔操作、データ収集、そしてWindowsシステムを破壊するための複数の手段を提供するよう設計されています。

マイクロソフト脅威インテリジェンス部門は、破壊的ツールによって消去された侵害環境を調査する中で、2025年10月に初めてGigaWiperの活動を確認しました。

研究者らは、単独動作型のワイパー検体と、より大規模なバックドア検体の両方を発見しました。同社によると、単独動作型のディスクワイパーは、オンデマンドコマンドとしてバックドアに完全に組み込まれているとのことです。

GigaWiperが際立っているのは、単なるワイパーではないという点です。少なくとも3つの異なるマルウェアファミリーのコンポーネントを、単一のモジュール型インプラントに統合しています。

このマルウェアには、物理ディスクワイパー、Crucioランサムウェアをベースにしたファイル暗号化ルーチン、そしてFlockWiperのロジックを再実装した安全なWindowsドライブワイパーが含まれています。

このアプローチにより、攻撃者は柔軟性を得ています。破壊的な行動——ディスクの消去、復元不可能な形でのファイル暗号化、システムのクラッシュ、証拠の削除——を実行する前に、静かにアクセスを維持しながら偵察を行うことができます。

単独動作型のGigaWiperバイナリは、Goで書かれた、シンボルが除去されていないWindowsポータブル実行ファイルです。選択したファイルを削除するのではなく、物理ディスクを直接標的にします。

このマルウェアはWindows Management Instrumentationを使用して利用可能なディスクを特定し、どの物理ドライブにWindowsのインストールが含まれているかを判別します。

続いて、生のディスク内容を上書きする前に、Windows以外のディスクからパーティション参照を削除しようとします。

このワイパーは大きなチャンク単位でデータを書き込みます。使用されるバッファはほぼゼロで埋められていますが、先頭バイトのみランダム化されています。マイクロソフトによると、これは明白なディスク全体のゼロ化活動を検知しようとする防御策を回避する助けになっている可能性があるとのことです。

この動作はランサムウェアに似ていますが、攻撃者は復号に必要な材料を保持していないため、被害者はファイルを復元できません。

マイクロソフトは、コードの共通性、関数名、実行フローに基づき、このコンポーネントをCrucioランサムウェアに関連付けました。Crucioについては、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が2023年の勧告で以前に文書化しています。

マイクロソフトはまた、GigaWiperのWindowsドライブ消去ルーチンが、2025年6月に初めてVirusTotalにアップロードされたC言語ベースのワイパーであるFlockWiperと酷似していることも突き止めました。

GigaWiperでは、このロジックがGolangで再実装され、さらに安全消去のための機能が追加されています。このマルウェアは、AMQP経由のRabbitMQを通じて攻撃者からのコマンドを受信し、Redis経由でコマンドの出力とステータス更新を送信します。

GigaWiperは、「All」という名前のRabbitMQファンアウトエクスチェンジを通じたブロードキャストコマンドに対応しており、トピックエクスチェンジを通じて標的を絞った指示を受け取ることも可能です。

マイクロソフトは、185.182.193[.]21においてGigaWiperのインフラを観測しており、ポート554455445544でのRabbitMQ通信、ポート754275427542でのRedis通信を確認しています。もう一つの関連するコマンド&コントロール(C2)アドレスは212.8.248[.]104です。

このマルウェアのコマンドセットは、スクリーンショット撮影、画面録画、PowerShellの実行、システムプロファイリング、プロセス・サービス管理、レジストリ操作、ログの消去、ファイルのアップロード、VNCライクなリモートアクセスに対応しています。

また、ブルースクリーンを引き起こしたり、復旧機能を無効化した上で重要なWindowsのブート関連ファイルやカーネルファイルを削除することで、システムを起動不能にすることも可能です。

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的にディフェング処理(例: [.])を施しています。再ファング(元の形式への復元)は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/microsoft-flags-gigawiper-backdoor/

ソース: cyberpress.org