ESET、「HermeticWiper」「IsaacWiper」による破壊的攻撃をウクライナ国内において確認
- 2022年03月02日 11:30:00
- マネー
- Dream News
● 2月23日、ワイパー型マルウェアHermeticWiper(カスタムワーム「HermeticWizard」、おとりランサムウェア「HermeticRansom」を含む)を使用した攻撃キャンペーンが、ウクライナの複数の組織をターゲットに行われました。このサイバー攻撃は、ロシアによるウクライナ侵攻開始より数時間前に実行されました。
● HermeticWiperは、自身のファイルをランダムなバイトで上書きすることで、ディスクから自身を消去します。これは、インシデント発生後のフォレンジック分析を回避する目的と考えられます。
● HermeticWiperは、HermeticWizard(ESETが命名)カスタムワームによって、侵害したローカルネットワーク内で拡散します。
● 2月24日、ウクライナ政府ネットワークに対して、ESETがIsaacWiperと命名したワイパーを利用した2度目の破壊的な攻撃が開始しました。
● 2月25日、攻撃者はデバックログを含むIsaacWiperの新しいバージョンを展開しましたが、これは標的となったマシンの一部が消去できなかった可能性を示しています。
● マルウェアの痕跡から、攻撃は数か月前から計画されていたことが明らかになりました。
● ESETのリサーチ部門は、これらの攻撃を既知の攻撃グループと結び付けることはまだできていません。
サイバーセキュリティ分野におけるグローバルリーダーであるESET(本社:スロバキア)は、ウクライナの組織を標的とした新しい2つのワイパー型マルウェアファミリーを発見したことを3月2日に発表しました。最初のサイバー攻撃は、ESETのリサーチ部門がツイッターで報告した通り、ロシア軍のウクライナ侵攻の数時間前、ウクライナの主要なウェブサイトに対するDDoS攻撃が行われた後に実行されました。今回の破壊的な攻撃は、少なくとも次の3つのコンポーネントを活用していました。HermeticWiperはデータを消去、HermeticWizardはローカルネットワークで拡散、そしてHermeticRansomはおとりのランサムウェアとして動作します。マルウェアの痕跡から、この攻撃は数か月前から計画されていたことが判明しました。ロシアによる侵攻が始まると、ウクライナ政府ネットワークに対して、ESETがIsaacWiperと名付けたワイパーを利用したが二度目の攻撃が開始しました。
ESETのHead of Threat ResearchであるJean-Ian Boutinは次のようコメントしました。「IsaacWiperに関しては、HermeticWiperと関連性があるのか現在確認中です。注目すべき点は、IsaacWiperはHermeticWiperの影響を受けていないウクライナ政府組織で確認されました。」
ESETの研究者は、影響を受けた組織は、ワイパーが展開されるかなり前にすでに侵害されていたと考えています。「これはいくつかの事実に基づいています。HermeticWiper PEコンパイルのタイムスタンプの最も古いものは2021年12月28日であり、コード署名証明書の発行日は2021年4月13日です。さらに、HermeticWiperは少なくともひとつのインスタンスでデフォルトのドメインポリシーを介して展開されており、被害者のActive Directoryサーバーの1つに攻撃者が事前にアクセスしていたことを示しています。」とBoutinは述べています。
IsaacWiperは、2月24日にESETのテレメトリで確認されました。最も古いPEコンパイルのタイムスタンプは2021年10月19日であり、つまりPEコンパイルのタイムスタンプが改ざんされていなければ、IsaacWiperは数か月前にそれ以前の攻撃で利用されていた可能性があります。
HermeticWiperの場合、ESETは標的となった組織内で水平展開した痕跡を確認しました。攻撃者は、Active Directoryサーバーを掌握している可能性が高いと考えます。このワイパーは、ESETがHermeticWizardと名付けたカスタムワームによって、侵害したネットワーク全体に拡散されました。2つ目のワイパーであるIsaacWiperでは、攻撃者はリモートアクセスツールのRemComと、おそらくImpacketを使用してネットワーク内部を移動します。さらに、HermeticWiperは、自身のファイルをランダムなバイトで上書きすることで、ディスクから自身を消去します。これは、インシデント発生後のフォレンジック分析から回避する目的と考えられます。おとりのランサムウェアであるHermeticRansomは、HermeticWiperと同時に展開され、ワイパーの動作を隠すために使われた可能性があります。
IsaacWiperの展開からわずか1日後、攻撃者はデバックログを含む新バージョンをドロップしました。これは、攻撃者が標的となったマシンの一部を消去できず、状況を把握するためにログメッセージを追加したことを示していると思われます。
ESETのリサーチ部門は、ESETのマルウェアコレクションのサンプルと明確なコードの類似性がないため、これらの攻撃と既知の攻撃グループを結び付けるまでには至っていません。
「Hermetic」は、コード署名証明書を発行するキプロスの企業Hermetica Digital Ltdに由来しています。ロイターによると、この証明書はHermetica Digital社から盗まれたものではないようで、攻撃者がDigiCertからこの証明書を入手するために、このキプロスの企業になりすました可能性が高いのです。ESETのリサーチ部門は、発行元のDigiCert社にこの証明書を直ちに失効させるよう要請しました。
より技術的な詳細情報については、今後公開予定のブログ記事をご覧ください。
ESETについて
ESETは30年間にわたり世界中の個人および法人に向けて、高度化する脅威からビジネス、最重要のインフラストラクチャ、そして消費者を保護するための業界をリードするITセキュリティソフトとサービスを開発してきました。エンドポイントやモバイルセキュリティからEDR、暗号化、多要素認証など、高性能でありながら使いやすいさまざまなソリューションを提供しています。消費者や企業がこれらのテクノロジーを最大限に活用し、安全を確保できるよう取り組んでいます。ESETは、24時間365日、ユーザーに製品を意識させることなく、保護および監視を行い、リアルタイムでセキュリティを更新し、安全かつ、円滑に業務を遂行できるようにします。脅威が進化する中で、ITセキュリティ企業も進化し、テクノロジーを安全に利用できるようにしなければなりません。ESETは、世界中にR&D研究開発拠点を有しており、私たち共通の未来のために活動を行っています。詳細については、www.eset.comをご覧ください。また、LinkedIn、Facebook、Twitterでフォローしてください。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000254447&id=bodyimage1】
配信元企業:イーセットジャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
安楽死その瞬間…フジ「ザ・ノンフィクション」で放送 家族悲痛の別れ テロップ喚起も
新婚の藤森慎吾、結婚指輪は「気持ちで買いました」控えめチャラ男ノリ 結婚発表後初の公の場
生田智子、ゴン中山との老後楽しみ?質問に絶叫「愛は育ててませんけど」フォロー迷走にツッコミ
高須克弥氏、1000万円懸賞で“私人逮捕”呼びかけ物議 長男の医師「復興に使う方が有意義か」
声優の増山江威子さんが5月20日に死去 「ルパン三世」の峰不二子役など ルパン公式Xで発表
“役満ボディー”岡田紗佳、ビキニ&ヘルシー下着ショット 最新写真集の8月発売を報告
フジ入社4年目25歳女子アナ、化粧動画での恥辱に「あんなの人生初めてですよ」お怒りモード?
上皇后美智子さま、コロナに感染 症状軽く、入院せず療養
中山秀征、沢尻エリカとの“伝説“の共演は「世紀の凡戦。猪木対アリ戦」緊張の舞台裏語る
落語家の笑福亭智六さん死去、45歳 闘病しながら高座 「動物園」「相撲場風景」を十八番
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
浜崎あゆみ、子供の写真公開に疑いの声止まず「よそのお宅の子供?」
大谷翔平被弾投手が悪態ついて退場処分!次打者フリーマンと対戦中に判定巡り塁審と口論
YouTuberジュキヤの動画企画が大炎上「普通に痴漢」「気持ち悪すぎ」
千原せいじのシエラレオネ巡る発言 NPO代表理事が公式謝罪忠告「最悪、国家間の問題に発展」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
大谷翔平10試合ぶり14号 シティフィールド初アーチ、26球場目は自らの日本人記録更新
大谷に被弾→次打者判定で審判と口論→退場→「チーム、自分も最悪」→戦力外
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
安楽死その瞬間…フジ「ザ・ノンフィクション」で放送 家族悲痛の別れ テロップ喚起も
新婚の藤森慎吾、結婚指輪は「気持ちで買いました」控えめチャラ男ノリ 結婚発表後初の公の場
生田智子、ゴン中山との老後楽しみ?質問に絶叫「愛は育ててませんけど」フォロー迷走にツッコミ
高須克弥氏、1000万円懸賞で“私人逮捕”呼びかけ物議 長男の医師「復興に使う方が有意義か」
声優の増山江威子さんが5月20日に死去 「ルパン三世」の峰不二子役など ルパン公式Xで発表
“役満ボディー”岡田紗佳、ビキニ&ヘルシー下着ショット 最新写真集の8月発売を報告
フジ入社4年目25歳女子アナ、化粧動画での恥辱に「あんなの人生初めてですよ」お怒りモード?
上皇后美智子さま、コロナに感染 症状軽く、入院せず療養
中山秀征、沢尻エリカとの“伝説“の共演は「世紀の凡戦。猪木対アリ戦」緊張の舞台裏語る
栗田貫一、増山江威子さん悼む「まさに紅一点、いつもエレガントで憧れの不二子ちゃんでした」