ウクライナへのサイバー攻撃で使用される新しい破壊的なマルウェア

ウクライナでの戦争が続く中、首都キエフでの最近の荒廃と地元の市長による夜間外出禁止令の報告により、サイバースペースでも戦いが激化しています。セキュリティ研究者は昨日、破壊的なマルウェアの新種が複数のウクライナのネットワークで発見されたと報告しました。

新しいマルウェアはワイパーとして機能し、ランサムウェアのようにデータを盗み出したり暗号化したりすることはありません。代わりに、脅迫的なワイパーツールは、可能な限りすべてを削除し、データの回復を防ぐためにスペースをきれいにワイプします。

CaddyWiperはファイル、パーティションを削除します

新たに発見されたツールはCaddyWiperと呼ばれ、マルウェア研究者によるTwitterの投稿で詳しく説明されています。これは、ウクライナでの軍事紛争の開始以来、ウクライナで野生で発見された3番目の脅威のワイパーです。不思議なことに、CaddyWiperのペイロードは真新しく、ウクライナのシステムを攻撃するために使用されたのと同じ日にコンパイルされたことが判明しました。

新しく起動されたマルウェアに関するもう1つの興味深い詳細は、データを破壊してパーティションを削除する一方で、ドメインコントローラーに干渉しないことです。ドメインコントローラーは、認証要求の処理と特定のネットワーク上のドメインリソースへのアクセスを担当するネットワークの一部です。これは、ツールが、データをワイプするという主なタスクとともに、侵害されたシステムへの拡張アクセスをオペレーターに提供することを目的としていることを意味している可能性があります。

CaddyWiperは以前に侵害されたネットワークに拡散します

CaddyWiperを広めるために悪用されたツールは、MicrosoftグループポリシーオブジェクトまたはGPOであることが判明しました。ただし、侵害されたネットワークの少なくとも1つのインスタンスでは、マルウェアの伝播にデフォルトのGPOが使用されていました。これ自体は、CaddyWiperを操作しているサードパーティが、ネットワークのActiveDirectoryサービスへの不正アクセスをすでに取得していることを示しています。

ウクライナの標的に対するサイバー攻撃で最近数週間使用された2つの以前の脅迫ツールは、 HermeticWiperとIsaacWiperと呼ばれていました。どちらのツールにも破壊的な機能がありましたが、コードに関しては最新のCaddyWiperと意味のある類似点を共有していませんでした。

ウクライナで使用されているCaddyWiperツールの報告とともに、別のサイバー攻撃が話題になりました。今回はロシアの石油会社Rosneftに向けられました。伝えられるところによると、ロスネフチのドイツの子会社は、アノニマスとして知られる国際的なハクティビスト集団によって攻撃されました。報告によると、この攻撃では20TBのデータが盗み出されました。ドイツ当局は攻撃を調査しています。 RosneftDeutschlandの施設は影響を受けていません。