- Cisco Talos は、ウクライナの重要インフラ組織に対して、これまで知られていなかった「PathWiper」というワイパーを使用した破壊的な攻撃が行われたことを確認しました。
- この攻撃は、正規のエンドポイント管理フレームワークを介して実行されており、攻撃者はアクセスした管理コンソールを使用して悪意のあるコマンドを発行し、接続先のエンドポイント全体に PathWiper を展開したと考えられます。
- Talos は、この破壊的攻撃とそれに関連するワイパーを、ロシアと関係のある Advanced Persistent Threat(APT)攻撃グループによるものと考えています。TTP(戦術、手法、手順)とワイパーの機能がウクライナの組織を標的とした過去の破壊的マルウェアと重なることから、この評価には高い信頼性があります。
- ワイパーマルウェアの亜種が進化を続ける中、ロシア・ウクライナ戦争が長期化する状況下でも、ウクライナの重要インフラが依然として脅威にさらされている現実が浮き彫りになっています。
PathWiper の急増
管理ツールのコンソールから発行されたコマンドはすべて、エンドポイントで実行中のクライアントが受信します。次にクライアントはそのコマンドをバッチ(BAT)ファイルとして実行します。コマンドラインは Impacket
のコマンド実行と一部似ていますが、それらのコマンドは環境内に Impacket があることを必ずしも示唆するわけではありません。
BAT ファイルは「uacinstall.vbs」という悪意のある VBScript ファイルを実行するコマンドで構成されています。この VBScript も管理コンソールからエンドポイントにプッシュされたファイルです。
C:\WINDOWS\System32\WScript.exe C:\WINDOWS\TEMP\uacinstall.vbs
実行された VBScript は、「sha256sum.exe」という名前の PathWiper 実行ファイルをディスクに書き込み、実行します。
C:\WINDOWS\TEMP\sha256sum.exe
攻撃の過程で使用されたファイル名と操作は、管理ユーティリティのコンソールから展開されるものに似ており、攻撃者はコンソールについて、またおそらくは被害組織の環境におけるコンソールの機能について事前に知っていたと考えられます。
PathWiper の機能
実行された PathWiper は、ファイルシステムに関連するアーティファクトの内容を、その場で生成されるランダムデータに置き換えます。まず、エンドポイントに接続されているストレージメディアに関して、次の情報を収集します。
- 物理ドライブ名
- ボリューム名とパス
- ネットワーク共有ドライブと非共有(共有解除された)ドライブのパス
ほとんどのストレージデバイスとボリュームはプログラムによって(API 経由で)検出されますが、PathWiper は「HKEY_USERS\Network\<drive_letter>| RemovePath」も照会して、破壊するネットワーク共有ドライブのパスを取得します。
すべてのストレージメディア情報を収集すると、PathWiper は記録した各ドライブとボリュームのパスごとにスレッドを 1 つ作成し、ランダムに生成されたバイトでアーティファクトを上書きします。NTFS(New Technology File System)から次のようないくつかのファイルシステム属性を読み取った後、これらのアーティファクトに関連する内容やデータをディスク上で直接、ランダムデータで上書きします。
- MBR
- $MFT
- $MFTMirr
- $LogFile
- $Boot
- $Bitmap
- $TxfLog
- $Tops
- $AttrDef
PathWiper は、アーティファクトの内容を上書きする前に、MountPointManager デバイスオブジェクトに対して「FSCTL_DISMOUNT_VOLUME IOCTL」を使用してボリュームのマウント解除を試みます。また、ディスク上のファイルを破壊するためにランダムバイトでファイルを上書きします。
PathWiper のメカニズムは、2022 年にウクライナの組織を標的としたことが確認された別のワイパーファミリ、HermeticWiper と意味的に類似しています。HermeticWiper(別名 FoxBlade または NEARMISS)は、第三者機関の報告によると、中程度から高い信頼度でロシアの Sandworm グループによるものと考えられています。どちらのワイパーも、マスターブートレコード(MBR)と NTFS 関連のアーティファクトの破壊を試みます。
HermeticWiper と PathWiper の大きな違いは、記録したドライブとボリュームに対して使用される破損メカニズムです。PathWiper は、システムに接続されているすべてのドライブとボリューム(マウント解除されたものも含む)をプログラムで識別し、検証のためにボリュームラベルを識別した後、有効なレコードを記録します。この手法は、物理ドライブを 0 から 100 まで列挙して破損を試みる HermeticWiper の単純なプロセスとは異なります。
カバレッジ
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
Snort 2 ルール:64742、64743
Snort 3 ルール:301174
侵害の指標(IOC)
7C792A2B005B240D30A6E22EF98B991744856F9AB55C74DF220F32FE0D00B6B3
本稿は 2025 年 6 月 5 日にTalos Group
Authors