ESET、「HermeticWiper」「IsaacWiper」による破壊的攻撃をウクライナ国内において確認
- 2022年03月02日 11:30:00
- マネー
- Dream News
● 2月23日、ワイパー型マルウェアHermeticWiper(カスタムワーム「HermeticWizard」、おとりランサムウェア「HermeticRansom」を含む)を使用した攻撃キャンペーンが、ウクライナの複数の組織をターゲットに行われました。このサイバー攻撃は、ロシアによるウクライナ侵攻開始より数時間前に実行されました。
● HermeticWiperは、自身のファイルをランダムなバイトで上書きすることで、ディスクから自身を消去します。これは、インシデント発生後のフォレンジック分析を回避する目的と考えられます。
● HermeticWiperは、HermeticWizard(ESETが命名)カスタムワームによって、侵害したローカルネットワーク内で拡散します。
● 2月24日、ウクライナ政府ネットワークに対して、ESETがIsaacWiperと命名したワイパーを利用した2度目の破壊的な攻撃が開始しました。
● 2月25日、攻撃者はデバックログを含むIsaacWiperの新しいバージョンを展開しましたが、これは標的となったマシンの一部が消去できなかった可能性を示しています。
● マルウェアの痕跡から、攻撃は数か月前から計画されていたことが明らかになりました。
● ESETのリサーチ部門は、これらの攻撃を既知の攻撃グループと結び付けることはまだできていません。
サイバーセキュリティ分野におけるグローバルリーダーであるESET(本社:スロバキア)は、ウクライナの組織を標的とした新しい2つのワイパー型マルウェアファミリーを発見したことを3月2日に発表しました。最初のサイバー攻撃は、ESETのリサーチ部門がツイッターで報告した通り、ロシア軍のウクライナ侵攻の数時間前、ウクライナの主要なウェブサイトに対するDDoS攻撃が行われた後に実行されました。今回の破壊的な攻撃は、少なくとも次の3つのコンポーネントを活用していました。HermeticWiperはデータを消去、HermeticWizardはローカルネットワークで拡散、そしてHermeticRansomはおとりのランサムウェアとして動作します。マルウェアの痕跡から、この攻撃は数か月前から計画されていたことが判明しました。ロシアによる侵攻が始まると、ウクライナ政府ネットワークに対して、ESETがIsaacWiperと名付けたワイパーを利用したが二度目の攻撃が開始しました。
ESETのHead of Threat ResearchであるJean-Ian Boutinは次のようコメントしました。「IsaacWiperに関しては、HermeticWiperと関連性があるのか現在確認中です。注目すべき点は、IsaacWiperはHermeticWiperの影響を受けていないウクライナ政府組織で確認されました。」
ESETの研究者は、影響を受けた組織は、ワイパーが展開されるかなり前にすでに侵害されていたと考えています。「これはいくつかの事実に基づいています。HermeticWiper PEコンパイルのタイムスタンプの最も古いものは2021年12月28日であり、コード署名証明書の発行日は2021年4月13日です。さらに、HermeticWiperは少なくともひとつのインスタンスでデフォルトのドメインポリシーを介して展開されており、被害者のActive Directoryサーバーの1つに攻撃者が事前にアクセスしていたことを示しています。」とBoutinは述べています。
IsaacWiperは、2月24日にESETのテレメトリで確認されました。最も古いPEコンパイルのタイムスタンプは2021年10月19日であり、つまりPEコンパイルのタイムスタンプが改ざんされていなければ、IsaacWiperは数か月前にそれ以前の攻撃で利用されていた可能性があります。
HermeticWiperの場合、ESETは標的となった組織内で水平展開した痕跡を確認しました。攻撃者は、Active Directoryサーバーを掌握している可能性が高いと考えます。このワイパーは、ESETがHermeticWizardと名付けたカスタムワームによって、侵害したネットワーク全体に拡散されました。2つ目のワイパーであるIsaacWiperでは、攻撃者はリモートアクセスツールのRemComと、おそらくImpacketを使用してネットワーク内部を移動します。さらに、HermeticWiperは、自身のファイルをランダムなバイトで上書きすることで、ディスクから自身を消去します。これは、インシデント発生後のフォレンジック分析から回避する目的と考えられます。おとりのランサムウェアであるHermeticRansomは、HermeticWiperと同時に展開され、ワイパーの動作を隠すために使われた可能性があります。
IsaacWiperの展開からわずか1日後、攻撃者はデバックログを含む新バージョンをドロップしました。これは、攻撃者が標的となったマシンの一部を消去できず、状況を把握するためにログメッセージを追加したことを示していると思われます。
ESETのリサーチ部門は、ESETのマルウェアコレクションのサンプルと明確なコードの類似性がないため、これらの攻撃と既知の攻撃グループを結び付けるまでには至っていません。
「Hermetic」は、コード署名証明書を発行するキプロスの企業Hermetica Digital Ltdに由来しています。ロイターによると、この証明書はHermetica Digital社から盗まれたものではないようで、攻撃者がDigiCertからこの証明書を入手するために、このキプロスの企業になりすました可能性が高いのです。ESETのリサーチ部門は、発行元のDigiCert社にこの証明書を直ちに失効させるよう要請しました。
より技術的な詳細情報については、今後公開予定のブログ記事をご覧ください。
ESETについて
ESETは30年間にわたり世界中の個人および法人に向けて、高度化する脅威からビジネス、最重要のインフラストラクチャ、そして消費者を保護するための業界をリードするITセキュリティソフトとサービスを開発してきました。エンドポイントやモバイルセキュリティからEDR、暗号化、多要素認証など、高性能でありながら使いやすいさまざまなソリューションを提供しています。消費者や企業がこれらのテクノロジーを最大限に活用し、安全を確保できるよう取り組んでいます。ESETは、24時間365日、ユーザーに製品を意識させることなく、保護および監視を行い、リアルタイムでセキュリティを更新し、安全かつ、円滑に業務を遂行できるようにします。脅威が進化する中で、ITセキュリティ企業も進化し、テクノロジーを安全に利用できるようにしなければなりません。ESETは、世界中にR&D研究開発拠点を有しており、私たち共通の未来のために活動を行っています。詳細については、www.eset.comをご覧ください。また、LinkedIn、Facebook、Twitterでフォローしてください。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000254447&id=bodyimage1】
配信元企業:イーセットジャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
元タレント・羽賀研二容疑者を逮捕 暴力団幹部らと登記偽装の疑い
「マイナ保険証」と「マイナ免許証」の3つの相違点と共通する問題点
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
水森かおり、30周年のスタートライブ 原田龍二とのセクシーデュエットに「ドキドキする」
【SHEIN】古着交換キャンペーン第3弾(10/1-15) LINE公式アカウントを追加して
【激安!うなぎ&刺身10種&お酒50種の“時間無制限”食べ飲み放題がたったの6000円!?】人気居酒屋の衝撃企画を見逃すな!!
【札幌】GK菅野孝憲28日京都戦出場に意欲「見てもらって分かるとおり大丈夫」前節脱臼で交代
【天皇杯】鹿島知念慶が右膝痛め途中交代…鹿島サポ「キツ過ぎ」「負けたら何も残らん」悲鳴
歴史ある若狭小浜の食、自然、文化を満喫! 9月21日(土)から「小浜で楽しむ秋旅2024」キャンペーンを開催!
PCIファーマ・サービシズ、先進ドラッグデリバリーおよび医薬品・医療機器のコンビネーションプロダクトの臨床・商用供給に向け、 EU・米国の施設に3億6,500万ドル以上を投資
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
東国原英夫氏、総選挙「下手すると支持率70%になる」人物を実名告白
ダンプ松本(61)の現在が色々と崩壊、衝撃的なブログ内容も
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
兵庫・斎藤知事「正直ずっと苦しかった」 進退は「だいぶ固まった」
松本人志飲み会参加セクシー女優、さらなる誹謗中傷メッセージ公開「私は強くない…もう無理」
ジャンポケ斉藤慎二「ZIP!」降板 水卜麻美アナ、神妙な表情で「降板の申し入れがありました」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
ヒロシ&キーボーの山田喜代子容疑者 万引きで逮捕
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
ダンプ松本(61)の現在が色々と崩壊、衝撃的なブログ内容も
元タレント・羽賀研二容疑者を逮捕 暴力団幹部らと登記偽装の疑い
「マイナ保険証」と「マイナ免許証」の3つの相違点と共通する問題点
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
水森かおり、30周年のスタートライブ 原田龍二とのセクシーデュエットに「ドキドキする」
【SHEIN】古着交換キャンペーン第3弾(10/1-15) LINE公式アカウントを追加して
【激安!うなぎ&刺身10種&お酒50種の“時間無制限”食べ飲み放題がたったの6000円!?】人気居酒屋の衝撃企画を見逃すな!!
【札幌】GK菅野孝憲28日京都戦出場に意欲「見てもらって分かるとおり大丈夫」前節脱臼で交代
【天皇杯】鹿島知念慶が右膝痛め途中交代…鹿島サポ「キツ過ぎ」「負けたら何も残らん」悲鳴
TOKIO松岡昌宏 国分太一に3発殴られた衝撃過去を告白「国分さんと喧嘩したの最初で最後」
歴史ある若狭小浜の食、自然、文化を満喫! 9月21日(土)から「小浜で楽しむ秋旅2024」キャンペーンを開催!