新種のワイパー:CaddyWiper

ほぼこもセキュリティニュース By Terilogy Worx

CaddyWiperはワイパーです。
パソコン上のファイルなどを削除します。
最近確認されているいくつかのワイパーと構造を比較した場合に類似性が確認されていません。
新種だと考えられています。

  • ターゲットはWindowsデバイスである
  • 削除するのはそのパソコンに接続されたドライブのユーザデータとパーティション情報である
  • 侵入先のWindowsドメインに属するパソコンに横展開し、削除行為を継続する
  • ドメインコントローラーは削除対象外にする
    ドメインコントローラーのパソコンのデータは削除されません。
    削除しないことでドメインの機能を維持し、ドメインに属する他のデバイスに横展開することができる状態を維持します。
    現在活動中のデバイスがドメインコントローラーであるかどうかの判定にはDsRoleGetPrimaryDomainInformation関数が使用されます。
  • 横展開にはグループポリシーが悪用される
    マルウェアの展開にGPOが使用されています。
    GPOはGroup Policy Objectです。
    Active Directoryの設定で、利用者やコンピュータのグループに適用したい設定項目と設定値の組み合わせを雛形として定義したものです。
    これはこのワイパーの展開が実施される前にすでに別の侵害行為によってドメインの制御が奪われていたことを意味します。
  • マルウェアにはデジタル署名がない
    デジタル署名がないファイルはインストールしようとすると警告が表示されるなどして行為を継続しにくい性質があります。
    しかしマルウェアの配布がGPOで実施される場合はこの限りではありません。
    GPOで配布できる場合、デジタル署名の必要はありません。

脅威にはいろいろな大きさがあると思います。
一つ一つに注目する場合、気にならないようなサイズの脅威も多くあると思います。
しかしその小さなほころびが連鎖となって、やがて大きな脅威へとつながってしまうこともありそうです。

日々の正しい運用が重要ということでしょうか。

参考記事(外部リンク):New CaddyWiper data wiping malware hits Ukrainian
networks

www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。