Wiper

ウクライナの重要インフラに対する標的型攻撃で、「PathWiper」と名付けられた新しいデータ・ワイパー型マルウェアが使用されている。

このペイロードは、正規のエンドポイント管理ツールを通じて展開されており、攻撃者が事前の侵害によってシステムへの管理アクセスを獲得していたことを示している。

この攻撃を発見したCisco Talosの研究者は、この攻撃はロシアに関連した高度持続的脅威(APT)であると確信を持って分析している。

研究者はPathWiperを、以前ウクライナで「Sandworm」脅威グループによって展開されたHermeticWiperと比較している。

したがって、PathWiperはHermeticWiperの進化版であり、同じ脅威クラスター、または重複する脅威クラスターによる攻撃で使用されている可能性がある。

PathWiperの破壊能力

PathWiperは、悪意のあるVBScript(uacinstall.vbs)を起動するWindowsバッチファイルを介してターゲットシステム上で実行され、その結果、主要なペイロード(sha256sum.exe)がドロップされ実行されます[VirusTotal]。

この実行は、検出を回避するために、正当な管理ツールに関連する動作や名前を模倣しています。

PathWiperは、HermeticWiperのように単に物理ドライブを列挙するのではなく、システム上のすべての接続ドライブ(ローカル、ネットワーク、マウント解除)をプログラムで識別します。

次に、Windows APIを悪用してボリュームをディスマウントし、破壊の準備を整え、各ボリュームに対してスレッドを作成し、重要なNTFS構造を上書きする。

NTFSのルート・ディレクトリにある標的となるシステム・ファイルには、以下のようなものがある:

  • MBR (マスター・ブート・レコード):MBR(Master Boot Record):ブートローダとパーティションテーブルを保持する物理ディスクの最初のセクタ。
  • MFT(Master File Table):マスターファイルテーブル:MFT(マスター・ファイル・テーブル):すべてのファイルとディレクトリ(メタデータとディスク上の場所を含む)をカタログ化したコアNTFSシステム・ファイル。
  • ログファイル(LogFile):NTFSトランザクションロギング、ファイル変更の追跡、整合性チェックとリカバリーに使用されるジャーナル。
  • ブート:ブートセクターとファイルシステムのレイアウト情報を含むファイル。

PathWiperは、上記ともう5つの重要なNTFSファイルをランダムバイトで上書きし、影響を受けたシステムを完全に操作不能にします。

今回確認された攻撃には、恐喝や金銭的な要求は一切含まれていないため、その目的は破壊と運用妨害のみです。

Cisco Talosは、この脅威を検出し、ドライブが破壊される前に阻止するために、ファイル・ハッシュとsnortルールを公開した。

データ・ワイパーは、戦争が始まって以来、ウクライナへの攻撃において強力なツールとなっており、ロシアの脅威行為者は、ウクライナの重要なオペレーションを混乱させるために、一般的にデータ・ワイパーを使用している。

これには、DoubleZeroCaddyWiperHermeticWiperIsaacWiperWhisperKillWhisperGateAcidRainと名付けられたワイパーが含まれる。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Tines Needle

ITチームが手作業によるパッチ管理をやめる理由

かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。

この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。