Microsoftが発見、破壊活動のためのオンデマンドバックドア「GigaWiper」

このモジュール型Golangバックドアは、リモート管理機能、複数のディスク消去ロジック、そしてCrucioから派生したランサムウェアモジュールを組み合わせています。暗号化キーを意図的に破棄するため、復旧は不可能です。

Microsoftは、スパイ活動用マルウェアとワイパーの境界を曖昧にする新たなバックドアについて、防御担当者に警告しています。

木曜日に公開された技術分析の中で、Microsoft Threat Intelligenceは、2025年10月の侵入活動で初めて確認されたGolangベースのインプラント「GigaWiper」について詳細を明らかにしました。このマルウェアは、リモート管理機能と複数のディスク消去・ランサムウェアルーチンを組み合わせています。

攻撃者はゼロから新たな破壊的ツールを構築するのではなく、複数の既存マルウェアファミリーを組み合わせてGigaWiperを構築し、それらを単一のバックドア内にモジュール化されたコマンドとして組み込んでいます。

「GigaWiperの特に注目すべき点は、その構成にあります」とMicrosoftの研究者は述べています。「複数の破壊的機能を単一のモジュール型バックドアに統合しているという点は、ワイパー型マルウェアにおける顕著な変化を示しています。従来のワイパー型マルウェアは、恐喝ではなく純粋な破壊のみを目的として設計されるのが一般的で、それが現実世界に深刻な影響を及ぼしていました」

このバックドアが備えるマルウェア機能には、複数のディスク消去ロジック、復元不可能なCrucioランサムウェア暗号化、永続化機能、そしてRabbitMQおよびRedisを用いた通信機能が含まれています。

オンデマンドで破壊を実行するバックドア

Microsoftによると、GigaWiperには2つの形態が存在します。単体のワイパーと、単体版のワイピング機能に加えて多数の管理機能を組み込んだ、より大規模なバックドアです。

Go言語で書かれたこのマルウェアは20種類のコマンドコードに対応しており、攻撃者はこれらを使ってPowerShellコマンドの実行、Windowsサービスやプロセスの管理、レジストリの操作、スクリーンショットの取得、画面の録画、イベントログの消去、そしてVirtual Network Computing(VNC)に似た機能を通じた感染システムの遠隔操作が可能です。

永続化は「OneDrive Update」を装ったスケジュールタスクによって確立され、コマンド&コントロール(C2)は指令の受信にRabbitMQを、コマンド実行結果の返送にRedisを利用しています。この構成により、攻撃者は静かにアクセスを維持し、目的を達成した段階で破壊的機能を選択的に発動させることができると研究者らは付け加えています。

3つのマルウェアファミリーを組み合わせたバックドア

Microsoftの研究者は、GigaWiperが単一の消去メカニズムに頼るのではなく、複数のマルウェアファミリーの破壊的コードを統合していることを突き止めました。

こうした統合は、バックドアが対応する個別のコマンドという形で現れています。

あるコマンドは、ドライブを上書きしパーティションのメタデータを削除することで、物理ディスクに対する生の消去処理を実行します。別のコマンドはCrucioランサムウェアファミリーから機能を借用しており、ランダムに生成された暗号化キーでファイルを暗号化しますが、そのキーは意図的に一切保存されません。そのため、一見ランサムウェアのように振る舞いながらも、実際には復旧が不可能になっています。

3つ目のコマンドはFlockWiperの機能を再現したもので、Go言語による安全な多重パス消去処理を実装し、Windowsシステム上のデータを永久に消去します。

「コード分析、共通する実行フロー、関数の命名規則、そして固有の文字列に基づき、GigaWiperがCrucioとFlockWiperの両方に関連していることを突き止めました」と研究者らは述べています。「Crucioのコードはコマンド3の基盤となっており、FlockWiperはGolangで書き直され、コマンド12として更新されています」と、バックドアが対応する20個のコマンドのうち該当するものに言及しつつ説明しています。

単体版のワイパーは、リストのコマンド1として実装されています。

Microsoftは、エンドポイントとIDの強化、行動検知機能とエンドポイント検知・対応(EDR)機能の有効化、そして侵害リスクを抑えるための攻撃対象領域削減コントロールの活用を推奨しています。

また同社は、GigaWiperのような破壊的マルウェアがデータを不可逆的に消去または暗号化するよう設計されていることを踏まえ、オフラインまたはそれに準じた耐障害性のあるバックアップを維持するよう防御担当者に呼びかけています。検知を支援するため、研究者らは侵害指標(IOC)のリストを公開しており、これにはFlockWiperとCrucioのファイルハッシュ、および複数のC2 IPアドレスが含まれています。

翻訳元: https://www.csoonline.com/article/4195470/microsoft-uncovers-gigawiper-a-backdoor-designed-for-destruction-on-demand.html

ソース: csoonline.com