RoarBAT マルウェア

ウクライナ政府コンピュータ緊急対応チーム（CERT-UA）が発表した新たな勧告によると、ロシアのハッカー集団「サンドワーム」がウクライナ国家ネットワークを標的としたサイバー攻撃に関与した疑いがある。この攻撃は、多要素認証で保護されていない侵害された VPN アカウントを悪用することによって実行され、ハッカーがネットワーク内の重要なシステムにアクセスできるようになりました。

Sandwormグループが標的のデバイスに侵入すると、これまで知られていなかった脅威 RoarBAT を使用して、Windows を実行しているマシン上のデータと Linux オペレーティング システム上の Bash スクリプトを削除しました。これは、人気のあるアーカイブ プログラムである WinRar を使用して、影響を受けるデバイスからファイルを消去することで実現されました。この攻撃はウクライナ政府のITインフラに重大な損害を与え、このような攻撃から身を守るための重要なセキュリティ対策として多要素認証の重要性を浮き彫りにした。

RoarBAT は人気のある WinRAR アーカイブ アプリケーションを悪用してデータを削除します

Sandworm の脅威アクターは、Windows 上で「RoarBat」と呼ばれる BAT スクリプトを使用します。このスクリプトは、侵害されたデバイスのディスクと特定のディレクトリをスキャンして、doc、df、png、docx、xls、xlsx、ppt、pptx、vsd、vsdx、rtf、txt、p jpeg、jpg、zip、rar などの多数のファイルタイプをスキャンします。 、7z、mp4、SQL、PHP、rar、7z back、vib、vrb、p7s、sys、dll、exe、bin、および日付。設定された基準に一致するファイルは、一般的で正規の WinRAR アーカイバ ツールを利用してアーカイブされます。

ただし、脅威アクターは WinRAR の実行時に「-df」コマンド ライン オプションを利用し、アーカイブ プロセス中にファイルが自動的に削除されます。さらに、アーカイブ自体は完了時に削除され、事実上、被害者のデバイス上のデータが永久に消去されます。 CERT-UA によると、RoarBAT は、グループ ポリシーを介して Windows ドメイン デバイスに集中的に分散されるスケジュールされたタスクを通じて実行されます。

ハッカーは Linux システムもターゲットにする

サイバー犯罪者は、Linux システム上で Bash スクリプトを使用し、「dd」ユーティリティを利用して対象のファイル タイプの内容をゼロバイトに置き換え、データを効果的に消去しました。このデータ置換により、dd ツールによって「空」にされたファイルの回復は、不可能ではないにしても、可能性は低いです。

「dd」コマンドや WinRAR などの正規プログラムの使用は、攻撃者がセキュリティ ソフトウェアによる検出を回避することを目的としていたことを示唆しています。

ウクライナを標的とした過去の攻撃との類似点

CERT-UA によると、Sandworm によって実行された最近の破壊的な攻撃は、2023 年 1 月にウクライナ国営通信社「Ukrinform」に対して発生した別の攻撃と驚くほどの類似点があり、これも同じ攻撃者によるものと考えられています。脅迫計画の実行、攻撃者が使用した IP アドレス、および RoarBAT の修正バージョンの使用はすべて、2 つのサイバー攻撃の類似性を示しています。