出典: AllTravel via Alamy Stock Photo
新しいタイプのワイパーマルウェアが、ウクライナの重要インフラ組織に対する破壊的なサイバー攻撃で使用されました。
Cisco Talosの木曜日の報告によると、研究者によって「PathWiper」と名付けられた未知のマルウェアが、最近の未特定の組織への攻撃で観察されました。Cisco Talosは、この攻撃をロシア関連の高度持続的脅威(APT)アクターに帰属し、PathWiperがウクライナの重要インフラ組織に対して重大なリスクをもたらすと警告しました。
「ワイパーマルウェアの変種の進化は、ロシアとウクライナの戦争が長期化しているにもかかわらず、ウクライナの重要インフラに対する継続的な脅威を浮き彫りにしています」と研究者たちはブログ投稿で書いています。
新種のワイパーマルウェア
Cisco Talosの研究者たちは、PathWiper攻撃が「正当なエンドポイント管理フレームワーク」を通じて行われたと説明しましたが、報告書には具体的な詳細はありません。攻撃者はおそらく管理コンソールを使用してコマンドを実行し、PathWiperをすべての接続されたエンドポイントに配信しました。
「攻撃の過程で使用されたファイル名とアクションは、管理ユーティリティのコンソールによって展開されたものを模倣することを意図しており、攻撃者がコンソールの事前知識を持っており、おそらく被害者企業の環境内での機能を知っていたことを示しています」と研究者たちは書いています。
関連記事:攻撃者がRubyパッケージを偽装してTelegramの機密データを盗む
ロシアの国家アクターが以前にウクライナの標的に対してワイパー攻撃を仕掛けたことがありますが、Cisco TalosはPathWiperが他のマルウェアよりも効果的で破壊的なツールとなる可能性がある重要な違いを指摘しました。研究者たちは、PathWiperの「破壊メカニズム」が他のマルウェア、例えばHermeticWiperとは異なると指摘しました。
「PathWiperは、システム上のすべての接続された(取り外されたものも含む)ドライブとボリュームをプログラム的に特定し、検証のためにボリュームラベルを特定し、有効なレコードを文書化します。これは、0から100までの物理ドライブを列挙してそれらを破壊しようとするHermeticWiperの単純なプロセスとは異なります」と彼らは書いています。
接続されたストレージドライブとボリュームを見つけるために単純な列挙を使用する代わりに、PathWiperはAPIを介してプログラム的にそれらを発見し、「HKEY_USERS\Network\<drive_letter>| RemovePath」をクエリして共有ネットワークドライブのパスを特定してターゲットにします。
マルウェアがすべてのストレージメディアとネットワークパスを収集すると、ランダムに生成されたバイトで資産を上書きします。PathWiperが重要インフラ攻撃でどれほど効果的だったかは不明であり、Cisco Talosはこれ以上のコメントを控えました。
PathWiper攻撃は、ウクライナの重要インフラに対する最新の脅威です。ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、3月に政府施設と重要インフラエンティティに対する少なくとも3件のサイバー攻撃を観察しました。さらに、APT活動報告Q4 2024-Q1 2025では、ESETが「Zerolot」と名付けた新しいワイパーが、ウクライナのエネルギー企業に対して悪名高いロシアのAPT Sandwormによって使用されたことを記録しました。