ロシアの侵略の間、HermeticWiper に続いて別の悪意のあるプログラム IsaacWiper が登場しました。 それらは、ウクライナの組織を直接対象としています。 さらに、ローカル ネットワークに配布する HermeticWizard マルウェアと、おとりランサムウェアとしての HermeticRansom による攻撃が実行されます。
ロシアのウクライナ侵攻を受けて、ESET の研究者は、ウクライナの組織に対する標的型サイバー攻撃で使用された新しいワイパー マルウェア ファミリを発見しました。 最初のサイバー攻撃は、ロシアの侵略の数時間前に始まり、ウクライナの主要な Web サイトに対する大規模な DDoS 攻撃が行われました。 これらの攻撃の過程で、新しいタイプのマルウェアの一部も使用されました。データ削除用の HermeticWiper、ローカル ネットワークでの配布用の HermeticWizard、およびおとりランサムウェアとしての HermeticRansom です。
DDoS 攻撃と HermeticWiper は始まりに過ぎません
ロシアの侵攻が始まると、同じくワイパーを使用して、ウクライナ政府のネットワークに対して XNUMX 回目の攻撃が開始されました。 ESET の研究者は、これを IsaacWiper と名付けました。 マルウェアのアーティファクトは、アクションが数か月前から計画されていたことを示しています。 これまでのところ、ヨーロッパの IT セキュリティ メーカーの専門家は、攻撃を既知のハッカー グループに割り当てることができませんでした。 遅かれ早かれマルウェアがウクライナ以外でも使用される可能性は否定できません。
「現在、IsaacWiper と HermeticWiper の間に関係があるかどうかを調査しています。 IsaacWiper は、HermeticWiper の影響を受けていないウクライナの政府機関で検出されました」と、ESET の脅威研究責任者である Jean-Ian Boutin 氏は述べています。
十分に前もって計画された攻撃
ESET の研究者は、ワイパーが使用されるずっと前に、影響を受けた組織が侵害されたと想定しています。 「この評価は、いくつかの事実に基づいています。HermeticWiper のコンパイル タイムスタンプで、最も古いものは 28 年 2021 月 13 日です。 2021 年 XNUMX 月 XNUMX 日のコード署名証明書の発行日。 少なくとも XNUMX つのケースでは、既定のドメイン ポリシーを介した HermeticWiper の展開。 これは、攻撃者が以前に被害者の Active Directory サーバーの XNUMX つにアクセスしていたことを示しています」と Boutin 氏は続けます。
IsaacWiper は、24 月 19 日に ESET テレメトリに登場しました。 見つかった最も古いコンパイル タイムスタンプは 2021 年 XNUMX 月 XNUMX 日でした。つまり、タイムスタンプが改ざんされていなければ、IsaacWiper は以前の操作で数か月前に使用された可能性があります。
IsaacWiper による別の攻撃の波
IsaacWiper を使用してからわずか XNUMX 日後に、攻撃者はデバッグ ログを含む新しいバージョンをリリースしました。 これは、攻撃者が標的のマシンの一部を削除できず、何が起こったかを理解するためにログ メッセージを追加できなかったことを示している可能性があります。 ESET の研究者は、ESET マルウェア コレクションの他の例とコードに大きな類似性がないため、これらの攻撃を既知の攻撃者に関連付けることができませんでした。
HermeticWiper は攻撃された組織で拡散します
HermeticWiper の場合、ESET は、標的の組織内でのマルウェアの水平移動の証拠を観察し、攻撃者が Active Directory サーバーを制御した可能性が高いと判断しました。 ESET の研究者が HermeticWizard と名付けたカスタム ワームは、侵害されたネットワーク上でワイパーを増殖させるために使用されました。 XNUMX 番目のワイパーである IsaacWiper の場合、攻撃者はリモート アクセス ツールである RemCom と、場合によっては Impacket を使用してネットワーク内を移動しました。
また、HermeticWiper は、自身のファイルをランダムなバイトで上書きすることにより、ディスクから自分自身を消去します。 このフォレンジック対策は、インシデント後のワイパーの分析を防ぐことを目的としている可能性があります。 おとりランサムウェア HermeticRansom は、おそらくワイパーの動作を難読化するために、HermeticWiper と同時に展開されました。
「ハーメチック」という用語は、Hermetica Digital Ltd. に由来します。 ab、コード署名証明書が発行されたキプロスの会社。 Reuters のレポートによると、この証明書は Hermetica Digital から盗まれたものではないようです。 むしろ、DigiCert からこの証明書を取得するために、攻撃者がキプロスの会社を装った可能性が高くなります。 ESET Research は、発行会社の DigiCert に証明書を直ちに取り消すように依頼しました。
ウクライナへのサイバー攻撃のプロセス
- 23 月 XNUMX 日、HermeticWiper マルウェア (HermeticWizard および HermeticRansom と共に) が、いくつかのウクライナ政府機関および組織に対して展開されました。 このサイバー攻撃は、ロシアによるウクライナ侵攻が始まるわずか数時間前に行われました。
- HermeticWiper は、自身のファイルを上書きすることにより、ディスクから自分自身を消去します。 この手順は、インシデントの分析をより困難にすることを目的としています。
- HermeticWiper は、HermeticWizard と名付けたカスタム ワームによって、侵害されたローカル エリア ネットワークに配布されます。
- 24 月 XNUMX 日、攻撃の第 XNUMX 波がウクライナ政府のネットワークを標的とし始め、ESET が IsaacWiper と呼ぶワイパーも使用しました。
- 25 月 XNUMX 日、攻撃者は IsaacWiper の新しいバージョンをリリースし、標的のコンピューターの一部をワイプできなかったことを示すデバッグ ログを記録しました。
- 分析結果は、攻撃が数ヶ月前から計画されていたことを示しています。
- ESET のセキュリティ専門家は、これらの攻撃をどのハッカー グループにも割り当てることができませんでした。
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。