PathWiperマルウェア
ウクライナの重要インフラを狙った標的型サイバー攻撃において、「PathWiper」と呼ばれる新たな破壊的マルウェアが確認されました。その主な目的は明白で、国内の運用能力を混乱させ、機能不全に陥らせることです。
目次
正規ツールによるステルス展開
攻撃者は、正規のエンドポイント管理ツールを使用してPathWiperペイロードを展開しました。この配信方法は、脅威アクターが以前の侵害を通じて標的のシステムへの管理者アクセスを既に取得していたことを示唆しており、攻撃の背後にある高度な計画性を浮き彫りにしています。
帰属: おなじみの敵が戻ってくる
このインシデントを調査しているサイバーセキュリティ研究者は、この攻撃がロシアに関連する高度な持続的脅威(APT)によるものであると高い確度で判断しています。観察された戦術、技術、手順(TTP)は、以前ウクライナでHermeticWiperを展開した既知の脅威グループであるSandwormのものと酷似しています。
PathWiper: HermeticWiperの後継候補
PathWiperはHermeticWiperと顕著な類似点があり、以前のマルウェアの進化形である可能性を示唆しています。どちらも重要なシステムデータを破壊することで最大限の被害を与えることを目的としており、動作の重複は、同一または密接に関連する脅威クラスターの関与を示唆しています。
多段階の攻撃チェーン
マルウェアは、多段階のプロセスを通じて実行されます。
- Windows バッチ ファイルにより、悪意のある VBScript (uacinstall.vbs) がトリガーされます。
- スクリプトは、検出を回避するために正規の管理ツールに偽装されたコア ペイロード (sha256sum.exe) をドロップして実行します。
高度なドライブ列挙とボリューム破壊
物理ドライブの列挙に重点を置くHermeticWiperとは異なり、PathWiperはさらに一歩進んで、ローカルボリューム、ネットワークボリューム、マウント解除されたボリュームを含む、接続されているすべてのドライブをプログラムで識別します。そして、Windows APIを利用してこれらのボリュームをマウント解除し、妨害行為に備えます。
マルウェアは各ボリュームに対してスレッドを生成し、重要な NTFS 構造を上書きして、システムを事実上動作不能にします。
コアシステムファイルの標的型破壊
PathWiper が破壊するシステム コンポーネントには次のものがあります:
- MBR (マスター ブート レコード): ブートローダーとパーティション テーブルが含まれます。
- $MFT (マスター ファイル テーブル): すべてのファイルとディレクトリのインデックスを管理します。
- $LogFile: 整合性と回復のために変更を追跡します。
- $Boot: ブートセクターとファイルシステムの情報を保存します。
さらに、他の 5 つの重要な NTFS メタデータ ファイルがランダム バイトで上書きされ、影響を受けたシステムを回復できなくなります。
身代金も要求もなし - 破壊のみ
注目すべきは、PathWiper が関与する攻撃には、いかなる形の恐喝や身代金要求も含まれていないことです。このことから、PathWiper の主な目的が金銭的利益ではなく、活動の完全な妨害であることが分かります。
ワイパー:ハイブリッド戦で繰り返し使われるツール
ウクライナ戦争勃発以来、データワイパーはロシアのサイバー作戦の特徴となっています。これらのツールは複数の攻撃キャンペーンに使用され、壊滅的な被害をもたらしました。検出された攻撃キャンペーンで使用されたその他の注目すべきワイパーには、 CaddyWiper 、 HermeticWiper 、 IsaacWiper 、 AcidRainなどがあります。
これらはいずれも、サイバー戦争を通じてウクライナのインフラを不安定化させるという広範な戦略において役割を果たしてきた。
結論: PathWiperは危険な進化を示す
PathWiperは、ウクライナに対して使用される破壊的なサイバーツールの継続的なエスカレーションを象徴するものです。高度な回避技術、システムレベルの深刻な妨害行為、そして既知のロシアのAPT組織への関与を示す特徴から、PathWiperは現代のサイバー紛争において重大な脅威となっています。
