複数ライセンス割引見積
脅威データベース マルウェア Lotus Wiper

Lotus Wiper

マルウェアMezoまで
翻訳内容:

サイバーセキュリティアナリストは、これまで記録されていなかったデータ消去マルウェア(現在はLotus Wiperとして知られている)が、2025年末から2026年初頭にかけてベネズエラのエネルギー・公益事業部門を標的とした攻撃に用いられていたことを突き止めた。このマルウェアは最大限の破壊力を発揮するように設計されており、感染したシステムを完全に機能停止させる。

連携攻撃の実行:多段階展開

この攻撃は、綿密に計画された作戦をオーケストレーションする2つのバッチスクリプトに依存しています。これらのスクリプトは、ネットワーク全体でアクティビティを同期させ、システム防御を弱体化させ、通常の運用を妨害してから、最終的なペイロードを実行します。その役割には、ワイパーコンポーネントの取得、難読化解除、および実行が含まれ、破壊的なフェーズへのスムーズな移行を保証します。

組織的破壊:ロータスワイパーの仕組み

Lotus Wiperは起動すると、システム機能と復旧オプションの両方を消去する包括的なデータ消去プロセスを実行します。その破壊的な機能には以下が含まれます。

  • 復元ポイントを含む復旧メカニズムの削除
  • 物理ドライブのセクターをゼロデータで上書きする
  • マウントされたすべてのボリュームにわたるファイルの削除
  • 巻号掲載誌における更新シーケンス番号(USN)の消去

これらの措置を総合的に講じることで、影響を受けたシステムが従来の手段では復旧または再構築できないようにする。

意図を示す兆候:金銭的な動機ではない

ランサムウェアとは異なり、Lotus Wiperには恐喝メッセージや支払い指示は含まれていません。このことから、今回の攻撃は金銭目的ではなく、妨害工作や地政学的な動機によるものである可能性が強く示唆されます。特に注目すべきは、このマルウェアのサンプルが2025年12月中旬にベネズエラのシステムから公開されたことです。これは、2026年1月に米軍が軍事行動を起こす直前のことです。直接的な関連性は確認されていませんが、この時期は同セクターを標的としたサイバー活動の報告が増加している時期と一致しており、非常に集中的な作戦であったことを示しています。

レガシーシステムを標的にする:時代遅れの環境を悪用する

攻撃チェーンは、多段階プロセスを開始するバッチスクリプトから始まります。その初期段階の動作の一つとして、Windowsインタラクティブサービス検出(UI0Detect)サービスを無効化しようとします。このサービスは、Windows 10バージョン1803以降の最新のWindowsバージョンでは削除されているため、このマルウェアは特に古いオペレーティングシステムを標的に設計されていることがわかります。

このスクリプトは、NETLOGON共有の存在を確認し、リモートXMLファイルを取得します。取得したファイルを、C:\lotusや%SystemDrive%\lotusなどのディレクトリにローカルに保存されているバージョンと比較します。この動作によって、システムがActive Directoryドメインの一部であるかどうかが判断される可能性があります。リモートファイルが利用できない場合は、スクリプトは終了します。そうでない場合は、接続を再試行するために最大20分間のランダムな遅延を設けた後、処理を続行します。

環境準備:システムの無効化と妨害

2番目のバッチスクリプトは、侵害されたシステムの動作状態を体系的に弱体化させることで、破壊の準備を整えます。その動作には以下が含まれます。

  • ローカルユーザーアカウントを列挙し、キャッシュされた認証情報を無効にする
  • アクティブなユーザーセッションをログオフする
  • ネットワークインターフェースを無効にする
  • diskpart clean all コマンドを実行して論理ドライブを消去します

さらに、robocopyなどのWindowsネイティブユーティリティを利用してファイルを上書きまたは削除したり、fsutilを使用して利用可能なディスク容量をすべて消費する大きなファイルを作成したりすることで、事実上、復旧作業を妨害します。

最終ペイロード実行:不可逆的な損傷

準備が完了すると、Lotus Wiperペイロードが展開されます。ペイロードは、復元ポイントの削除、物理セクターの上書き、ジャーナルレコードの消去、マウントされたボリューム全体のシステムファイルの削除によって、破壊プロセスを完了します。この段階になると、外部バックアップがない限り、復旧は事実上不可能になります。

防御策に関する推奨事項:監視と緩和

組織、特に重要インフラ分野の組織は、積極的な監視および検出戦略を採用すべきである。主な重点分野は以下のとおりである。

NETLOGON共有の変更を監視する
認証情報の漏洩や権限昇格の試みを検出する
fsutil、robocopy、diskpartなどのネイティブツールの異常な使用状況を追跡する

戦略的洞察:過去の妥協の証拠

古いWindows環境向けに最適化された機能が存在することは、事前の偵察と長期的なアクセスがあったことを示唆している。攻撃者は標的のインフラストラクチャに関する詳細な知識を有しており、破壊的な攻撃を開始するずっと前にドメイン環境を侵害していた可能性が高い。

トレンド

SnappyClientマルウェア

マルウェア, リモート管理ツール
SnappyClientは、C++で記述された高度なマルウェアであり、HijackLoaderと呼ばれるローダーを介して配布されます。リモートアクセス型トロイの木馬(RAT)として機能し、サイバー犯罪者が侵害されたシステムを乗っ取り、機密データを抜き取ることを可能にします。デバイスに侵入すると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、指示を受信して悪意のある操作を実行しま...

Forestrievic.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
安全にインターネットを閲覧するには、常に警戒を怠らないことが重要です。悪質なウェブサイトは、ユーザーの信頼を悪用する巧妙な手口で設計されており、近年ますます一般的になっているのが偽のCAPTCHA認証です。これらの認証画面は、訪問者に「許可」ボタンをクリックさせ、ロボットではないことを証明させようとします。しかし実際には、クリックすることで、サイト側が迷惑なプッシュ通知を送信する権限を与えて...

新しいプライバシーセキュリティアップデートメール詐欺を確認する

フィッシング, スパム
緊急対応を求める予期せぬメールには、常に注意を払う必要があります。サイバー犯罪者は、信頼を悪用しパニックを引き起こすために、悪意のあるメッセージを正規の通知に見せかけることがよくあります。「新しいプライバシーセキュリティアップデートを確認してください」といった詐欺メールは、どれほど公式に見えても、いかなる正当な企業、組織、団体とも関係がないことを認識することが重要です。 「プライバシーセキュリティアップデート」詐欺の詳細検証 セキュリティ分析の結果、これらのメッセージは受信者を悪意のあるウェブサイトに誘導するために仕組まれた、不正なアカウント停止警告であることが確認されました。これらは、...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
33,415
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
28,614
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
22,306
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...