セキュリティ
Microsoftによれば、GigaWiperは少なくとも3つのマルウェアファミリーを1つのモジュール式ツールに統合しているといいます
Microsoftによると、新たに確認されたWindowsを破壊するバックドアは、ランサムウェア的な暗号化機能と複数のデータ消去機能を組み合わせているとのことです。
昨年10月、Microsoftの脅威ハンティングチームは、彼らが「GigaWiper」と名付けたGolangベースのインプラントを使った攻撃を初めて確認しました。
開発者はオンデマンドで実行可能なコマンドとして、複数のマルウェアファミリーをこのソフトウェアに詰め込んでおり、犯罪者はコマンド&コントロール(C2)機能と破壊的機能を兼ね備えた「多機能ナイフ」のようなツールを手にすることになります。これには複数のデータ消去コマンドや、復号が一切不可能なファイル暗号化機能も含まれます。
「複数の破壊的機能を1つのモジュール式バックドアに統合したことは、ワイパー型マルウェアにおける顕著な変化を示しています。従来のワイパーは純粋に破壊のみを目的として設計されており、恐喝を意図したものではなく、現実世界への影響を伴うものでした」と、Microsoft Threat Intelligenceは木曜日のブログで述べています。
MicrosoftはGigaWiperによる攻撃の規模や範囲に関するThe Registerの質問への回答を拒否しました。
ブログの中で、Microsoftのマルウェア解析チームは、被害組織の環境内で2種類のGigaWiperサンプルを発見したと述べています。いずれもGolangで書かれた、ストリップされていないポータブル実行ファイルです。
1つは、個々のファイルを削除するのではなく、物理ディスクレベルで動作するスタンドアロン型のワイパーです。これは生のディスク内容を上書きし、パーティションのメタデータを削除した上で、Windowsのシャットダウン機能を使い、再起動遅延ゼロの状態でシステムを再起動させます。
2つ目のサンプルの方がより興味深いものです。同じディスク消去機能を備えていますが、それはこのバックドアが持つ機能の一部に過ぎません。このマルウェアは永続化の仕組みも確立し、AMQPを介したRabbitMQを使ってC2サーバーからコマンドを受信し、Redisを使ってコマンドのステータスや実行結果を更新する形でC2通信も構築します。
GigaWiperはまた、コマンドをいくつかのカテゴリーに分類して管理しています。継続的な画面録画などのタスクを行う「always run」、システム管理機能を担う「manage command」、そして追加機能を実行するための独立した「special command」モードと「shell command」モードです。
これらの中には、先述のスタンドアロン型ワイパーコマンドに加え、Windowsの復旧機能を無効化し、ブルースクリーン(BSOD)を発生させ、デバイスを起動不能な状態に陥らせる別のコマンドも含まれています。
また、Crucioランサムウェアをベースとした破壊的なコマンドも備えています。これはランダムに生成され、決して保存されることのない鍵でファイルを暗号化するため、被害組織はこれらのファイルを二度と復号できなくなります。
さらに別のコマンドは、CBC(Cipher Block Chaining)モードのAES-256を使ってファイルを一括で暗号化・復号するもので、また別のコマンドはMinIO Client(mc)を使って盗み出したファイルをリモートストレージにアップロードします。
このマルウェアはPowerShellコマンドの実行、侵害されたデバイスのスクリーンショット撮影・録画、システム情報の収集、Windowsイベントログの消去も行うほか、キーボードやマウスの制御を含むシステムへのリモート操作も可能です。攻撃者はこうした機能を自在に使うことができます。
Microsoftによれば、GigaWiperはCrucioランサムウェア、FlockWiperをGoで再実装したもの、そしてスタンドアロン型ディスクワイパーという、少なくとも3つの従来別個であったマルウェアファミリーの構成要素を組み合わせたものだといいます。
「全体として、これらの調査結果は攻撃者のツールが時間とともに進化してきたことを示しています」と、セキュリティ調査チームは記しています。「機能が単一の強固なバックドアに統合されたことで、攻撃者は感染したシステムを制御・破壊する手段をより多く手に入れたことになります」®