CaddyWiperはワイパーです。
パソコン上のファイルなどを削除します。
最近確認されているいくつかのワイパーと構造を比較した場合に類似性が確認されていません。
新種だと考えられています。
- ターゲットはWindowsデバイスである
- 削除するのはそのパソコンに接続されたドライブのユーザデータとパーティション情報である
- 侵入先のWindowsドメインに属するパソコンに横展開し、削除行為を継続する
- ドメインコントローラーは削除対象外にする
ドメインコントローラーのパソコンのデータは削除されません。
削除しないことでドメインの機能を維持し、ドメインに属する他のデバイスに横展開することができる状態を維持します。
現在活動中のデバイスがドメインコントローラーであるかどうかの判定にはDsRoleGetPrimaryDomainInformation関数が使用されます。 - 横展開にはグループポリシーが悪用される
マルウェアの展開にGPOが使用されています。
GPOはGroup Policy Objectです。
Active Directoryの設定で、利用者やコンピュータのグループに適用したい設定項目と設定値の組み合わせを雛形として定義したものです。
これはこのワイパーの展開が実施される前にすでに別の侵害行為によってドメインの制御が奪われていたことを意味します。 - マルウェアにはデジタル署名がない
デジタル署名がないファイルはインストールしようとすると警告が表示されるなどして行為を継続しにくい性質があります。
しかしマルウェアの配布がGPOで実施される場合はこの限りではありません。
GPOで配布できる場合、デジタル署名の必要はありません。
脅威にはいろいろな大きさがあると思います。
一つ一つに注目する場合、気にならないようなサイズの脅威も多くあると思います。
しかしその小さなほころびが連鎖となって、やがて大きな脅威へとつながってしまうこともありそうです。
日々の正しい運用が重要ということでしょうか。
参考記事(外部リンク):New CaddyWiper data wiping malware hits Ukrainian
networks
www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/
| この記事をシェア |
|
|---|
