PathWiperは、名前から想像できるようにワイパー型マルウェアです。
ワイパーは、マルウェアの一種で、感染したコンピュータの補助記憶装置内のデータを完全消去して使用不能にする目的で使用されます。
感染した機器のデータが削除されてしまうという特性上、サンプルが入手し辛いため検証作業も難しいジャンルのマルウェアです。
ここのところインフォスティーラー型が目立つ状況が続いていますが、ワイパー型がまた登場していることが確認されています。
- 新しいワイパー:PathWiper
ウクライナの重要なインフラに対する標的型攻撃に使用されており、同国での業務を妨害することを目的として展開されていると考えられます。
このマルウェアを使用した活動では、その配布に正規のエンドポイント管理ツールを使用していることが判明しているため、この活動を行っている脅威アクターはすでにその開始時点で侵害対象システムの管理アクセスを獲得していたことになります。 - PathWiperの機器内活動範囲
PathWiperは、感染した機器から利用できるすべてのドライブを対象とします。
PathWiperの元となったと考えられるHermeticWiperでは、活動範囲はその機器の物理ドライブでした。
しかしPathWiperは、システム上の接続されているすべてのドライブ (ローカル、ネットワーク、マウント解除済み) を対象とします。 - 保存装置の倫理的破壊
PathWiperは、ワイパーなのですが、データを削除するわけではありません。
データが保存されて利用される際に使用される管理情報が記録された部分の保存内容を破壊します。
侵害対象OSはWindowsです。
破壊対象ファイルシステムはNTFSです。
NTFSでは、MBR、$MFT、$MFTMirr、$LogFile、$Boot、$Bitmap、$TxfLog、$Tops、$AttrDefなどの管理データを使用して機能します。
PathWiperはこれらの管理データをランダムバイトで上書きし、影響を受けるシステムを完全に動作不能にします。
現時点ではPathWiperの活動はウクライナでのみ確認されています。
しかし脅威アクターの活動領域に超えられない壁は設置されていません。
一つの小さなほころびから、システムの侵害は成り立ちはじめてしまいます。
システムを構成する機器の全体を把握し、それらを健全な状態に保つことが対策となります。
Newly identified wiper malware “PathWiper” targets critical infrastructure in Ukraine
https://blog.talosintelligence.com/pathwiper-targets-ukraine/
| この記事をシェア |
|
|---|
