CaddyWiperを検出: ウクライナのネットワークを攻撃するもう一つの破壊的なデータワイパー

サイバースペースはロシア-ウクライナ戦争の新たなフロンティアです。ロシア支持の大規模な サイバー攻撃 は、ウクライナに対する軍事侵略を伴い、ウクライナのインフラストラクチャの重要な要素をオフラインにすることを目的としています。新たに発見されたCaddyWiperマルウェアは、以前に明らかになったサイバー脅威に追加されます – HermeticWiper, WhisperGate、およびIsaacWiper。この新しいデータワイピングマルウェアは、他のマルウェアファミリとは似ていません。

CaddyWiper 検出

このデータワイパーマルウェアを検出するには、熟練した脅威ハンター Osman Demir:

によって提供された以下のSigmaベースのルールを利用してください

このSigmaベースの検出にアクセスするには、現在のアカウントにログインするか、プラットフォームにサインアップしてください。

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、QRadar、FireEye、LogPoint、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Open Distroの各SIEM、EDR & XDRプラットフォーム向けに翻訳されています。

このルールは最新の MITRE ATT&CK® フレームワークv.10に沿っており、「ディスク消去 (T1561)」を主な手法とする「影響」戦術と、「ディスクコンテンツ消去 (T1561.001)」のサブテクニックに対応しています。

上記のSigma検出に加えて、我々の一流の脅威バウンティ開発者 Antonio Farina:

のYARAルールを活用できます。

他の脆弱性を検出するには、 ルールの完全なリスト をSOC Prime Platformの脅威検出マーケットプレイスのリポジトリで確認してください。独自のコンテンツを作成していますか？脅威バウンティプログラムが支える世界最大のサイバー防衛コミュニティと協力し、検出コンテンツを共有することで安定した収入を得ましょう。

検出の表示 脅威バウンティに参加

CaddyWiper 分析

2022年に始まったロシアの侵略以来、ウクライナのデジタルインフラストラクチャを壊滅させ、国家の安定を弱体化させることを目的とした一連の深刻なサイバー攻撃が行われています。3月14日、 ESETの研究者たちは、 CaddyWiperと呼ばれる新しいデータワイパーマルウェアを報告しました。これは、接続されたドライブのデータとパーティション情報を破壊するよう設計されています。

現在のデータによると、敵対者はこのデータワイピングマルウェアの系統を使用してウクライナの組織への最大十件のハッキングに成功しています。CaddyWiperの展開事例には、CaddyWiperとHermeticWiperが共有する第一の戦術的共通点があります: CaddyWiperはWindowsドメインコントローラーを通じて標的システムに侵入しました。したがって、敵対者が最近のHermeticWiper攻撃に類似した形でActive Directoryサーバーを制御していたことがわかります。CaddyWiperが展開された際にはドメインコントローラー上のデータを消去せず、攻撃の背後にいるハッカーが操作を妨害しつつ持続することを可能にしています。さらなる詳細は、 — 発見されたサンプルはデジタル署名されていませんでしたが、コンパイルされていました。

この動乱の時において、効率的なサイバーセキュリティの実践の重要性は過小評価できません。共同サイバー防衛によって強化されたSOC Primeは、ロシアの支援を受けたサイバー脅威に対抗するために2,000以上のSigmaベースの検出をキュレートしており、これらのルールはすべてQuick Huntモジュールを使用して無料で探索できます。SOC Prime Platformにログインし、Quick Huntを使用して関連する脅威を検索するために詳細を掘り下げてください:
ロシア発の脅威に対する無料のハンティングコンテンツ

参加 SOC PrimeのDetection as Codeプラットフォーム に参加して、業界のリーダーの力を借りて脅威検出能力を強化しましょう。独自の検出コンテンツを提供し、共同サイバー防衛を推進する方法を探していますか？ SOC Primeのクラウドソーシングイニシアチブ に参加して、コミュニティと Sigmaルール を共有し、安全なサイバースペースに貢献し、貴重な入力に対して継続的な報酬を受け取りましょう！