マイクロソフトが最近発見した新種のバックドアは、統合型サイバー攻撃フレームワークへの危険な移行を示すものです。
GigaWiperと呼ばれるこのバックドアは、幅広い作戦能力を備えたマルウェアインプラントに関連しており、サイバー脅威アクターが静かなスパイ活動と破壊的なワイピング(データ消去)作戦の両方を行えるようにするものです。
具体的には、フルバージョンのGigaWiperは、復号手段を一切残さないファイル暗号化型ランサムウェアを含む、複数種類のワイピング機能を備えています。
これらの機能は単一の堅牢なバックドアに統合されており、攻撃者に感染システムを制御・破壊するためのより多くの手段を与えています。
GigaWiperを使えば、脅威アクターは感染システムへの制御を維持し、コマンドを実行し、追加のツールを展開したうえで、最終的に複数の破壊的コマンドのいずれかを任意のタイミングで発動できます。
マイクロソフトセキュリティが7月9日に公開したマルウェア分析で、研究者らはこの新しい高度なツールが、少なくとも3つの従来別々に存在していたマルウェアファミリーのコンポーネントを組み合わせ、再実装することで作られたと評価しています。
これらにはCrucioランサムウェア株とFlockWiperのほか、まだ回収されていないもう一つの関連コンポーネントないしフレームワークが含まれます。
GigaWiperの特徴
マイクロソフト脅威インテリジェンスは2025年10月にGigaWiperを検出しました。侵害された環境が破壊的なツールで消去されているのを研究者が観測したことがきっかけです。
標的となったシステムや被害者に関する情報は公表されていないものの、研究者らはGo言語(Golang)で書かれた多機能インプラントを速やかに特定しました。このインプラントは、堅牢なコマンド&コントロール(C2)機能と、ディスクワイピング、偽装ランサムウェア、システムレベルの妨害工作を含む複数の破壊的ペイロードを組み合わせたものです。
より正確には、研究者らは2種類のサンプルを観測しています。
- 単体型ワイパーバイナリ
- 堅牢なバックドア機能を備えたより大規模なバイナリ
後者のバージョンのGigaWiperは、脅威アクターが3つの主要コンポーネントから破壊手段を自由に選択できる柔軟性を提供します。
- 物理ディスクレベルで動作し、生のディスク内容を上書きしてパーティションのメタデータを削除する単体型ワイパー
- Crucioランサムウェアに由来する破壊的コマンドで、ランダムに生成され保存されない鍵でファイルを暗号化するため復号が不可能になるもの
- CベースのマルウェアであるFlockWiperのロジックをGolangで再実装し、さらに複数パスの安全なワイピングを追加したワイピングコマンド
複数の破壊機能をモジュール式のバックドアに統合したことは、「通常は恐喝や現実世界への影響ではなく、純粋な破壊のみを目的として設計されるワイパー型マルウェアにおける、注目すべき転換」を反映していると、マイクロソフトの研究者らは指摘しています。
「GigaWiperは、脅威アクターが運用効率への投資を進めている実例です。単体型ツールを統合プラットフォームへと統合することで、展開の痕跡を減らしつつ破壊能力を拡大しています」
マイクロソフトによるGigaWiperの脅威緩和に向けた推奨事項
GigaWiperがもたらす複数の脅威を緩和したい組織に向けて、マイクロソフトの研究者らは以下の推奨事項を挙げています。
- 攻撃者がセキュリティサービスを停止したりアンチウイルスの除外設定を悪用したりするのを防ぐため、テナント全体で改ざん防止機能を有効にする。
- 組織の脅威インテリジェンス情報源に基づき、可能な限り既知のC2インフラへの直接アクセスをブロックする
- 急速に進化する攻撃者のツールや手法に対応するため、アンチウイルスでクラウド提供型保護を有効にする
さらに、マイクロソフトはマイクロソフト製品固有の緩和策として、以下も挙げています。
- エンドポイント検知・対応(EDR)をブロックモードで実行し、Microsoft Defender for Endpointが、非マイクロソフト製アンチウイルスが脅威を検知できない場合や、Microsoft Defender Antivirusがパッシブモードで稼働している場合でも、悪意のあるアーティファクトをブロックできるようにする
- 調査と修復を完全自動モードで許可し、Microsoft Defender for Endpointがアラートに対して即座に対応できるようにすることで侵害を解決し、アラート件数を大幅に削減する
- Microsoft Defender XDRの利用者は、脅威アクターが用いる手法から環境を強化するために、次の攻撃対象領域削減ルールも実装可能:「実行頻度、経過期間、または信頼済みリストの基準を満たさない限り実行ファイルの実行をブロックする」
翻訳元: https://www.infosecurity-magazine.com/news/new-gigawiper-espionage-destructive/