Microsoftが複数のマルウェアを組み合わせた新種「GigaWiper」を発見、ワイパーとランサムウェアの展開が可能


  • Microsoftは、イランのハッカー集団CyberAv3ngersの犯行とされる破壊型マルウェア「GigaWiper」について警告しています。複数の亜種を一つにまとめた構造が特徴です
  • ドライブの完全消去、偽のランサムウェア用拡張子によるファイル暗号化、Windowsパーティションの上書きに加え、スクリーンショットやVNCセッション、システムデータの窃取によるスパイ活動も可能です
  • このマルウェアは偽装したOneDriveタスクやレジストリキーの中に潜み、スパイ活動と破壊工作の両方の機能を備えています。被害者のデータを復旧する手段はありません

Microsoftは、コンピューターをスパイしたうえで、さまざまな方法で完全に破壊できる新種のマルウェア「GigaWiper」について警告を発しています。

このマルウェアは複数のマルウェア亜種を組み合わせて構築されたもので、イランの国家支援型脅威アクター「CyberAv3ngers」の関与とみられています。攻撃者たちは、マルウェアの難読化の仕組みを通じて、Microsoftに対しちょっとした皮肉も仕込んでいました。

Microsoftが説明したところによると、GigaWiperは物理ドライブを上書きし、パーティションテーブルを消去することで、ディスクの内容を直接破壊できます。また、ドライブ上のすべてのファイルを暗号化して「.candy」という拡張子を付加し、デスクトップの壁紙を警告メッセージに書き換えることも可能です。このランサムウェア的な手法では身代金要求メッセージは表示されず、復号キーも生成されません。つまり支払うべき対象も、ファイルを復号する手段も存在しないのです。ファイルは完全に失われてしまい、被害者に偽りの希望を抱かせるだけになります。

被害者へのスパイ活動

三つ目の手法は、Windowsドライブを直接標的にし、異なるデータパターンで複数回にわたって上書きするというものです。

ディスクを使用不能にするだけでなく、GigaWiperはスクリーンショットの取得や画面録画、あるいはVNCセッションの開設によって被害者をスパイすることもできます。これにより、被害者の作業内容をリアルタイムで盗み見たり、攻撃者がマウスやキーボードを操作したりすることが可能になります。このマルウェアはさらに、システムデータの抽出、プログラムやサービスの管理、レジストリの変更なども行えます。

しかし最も皮肉が効いているのは、その隠れ方です。このマルウェアは「OneDrive Update」という名前のタスクをスケジュール登録し、「OneDrive\Environment」というレジストリキーに自身の情報を記録します。おそらく攻撃者は、OneDriveなど誰も注意を払わないだろうと考え、マルウェアをより長く人目につかないようにできると踏んだのでしょう。

攻撃者について、Microsoftは名指しを避けているものの、GigaWiperを構成する要素の大半は、イラン革命防衛隊とつながりを持つ集団「CyberAv3ngers」の犯行として、以前から特定されているものです。

翻訳元: https://www.techradar.com/pro/security/microsoft-discovers-new-multi-malware-package-gigawiper-capable-of-deploying-wipers-and-ransomware

ソース: techradar.com