Industroyer2とCaddyWiperマルウェアを検出：サンドワームAPTがウクライナの発電施設を攻撃

CERT-UAは、MicrosoftおよびESETと協力して最近 報告しました ウクライナのエネルギープロバイダに対する大規模なサイバー攻撃について報告しています。これは人類史上2度目の停電攻撃です。この最新の活動は、ロシア支援の サンドワームAPTグループ にも追跡されています。 

この攻撃において、脅威アクターは有名な インダストロイヤー・マルウェア ファミリーの最新サンプルであるIndustroyer2を利用しました。このマルウェアは、ESETの研究者によって2017年6月に初めて発見され、送電網を攻撃するために設計されました。2017年のサイバー攻撃は、悪意ある ブラックエナジーマルウェア によって引き起こされた大規模な停電にまで遡ります。これはウクライナの電力会社の重要なインフラを破壊するよう設計されていました。 

ウクライナの電力施設への最新のサイバー攻撃では、インダストロイヤー・マルウェアの使用に加えて、サンドワームAPTグループは悪名高いデータワイパーとして知られる CaddyWiperを活用しました。さらにこのマルウェアは、 HermeticWiper and や ウクライナの組織を標的とした攻撃にも使われました。

インダストロイヤー再加速：サンドワームがIndustroyer2を展開してウクライナの電力網を破壊

CERT-UAは、ESETおよびMicrosoftのサイバーセキュリティ専門家と協力し、ウクライナのエネルギープロバイダに対する大規模なサイバー攻撃を阻止しました。それは、ロシア支援のサンドワームAPTによって周到に計画され、ウクライナの重要インフラを混乱させるために行われた人類史上2度目の停電攻撃です。 

ESETの 分析によれば、悪意ある行為は少なくとも2週間前にハッカーによって準備されており、攻撃の開始は2022年4月8日に予定されていました。サンドワームの脅威アクターは、悪名高いインダストロイヤー・マルウェアの後継であるIndustroyer2を展開し、ウクライナの高電圧電力変電所の運用を妨害する計画を立てていました。 

ICS対応のマルウェアに加えて、ハッカーは複数のワイパーファミリーを使用しました。特に、CERT-UAは最近明らかにされた CaddyWiper がWindows OSを実行するパーソナルコンピュータ、サーバー、および自動プロセス制御システムに対して適用されたと報告しています。Linuxベースのシステムに対しては、RSHRED、SOLOSHRED、AWFULSHREDデータワイピングスクリプトが活用されました。ワイパーは、Industroyer2の痕跡を消去し、電力網オペレーターのICSコンソールの再取得を困難にする意図で展開されたと推測されます。

The サンドワームグループ は、ロシア連邦総参謀本部情報総局（GRU）特殊技術本部センター（GTsST）第74455軍部隊に所属することが知られています。2015年から2017年にかけて、サンドワームはウクライナの重要インフラに対して繰り返し ノットペティアマルウェア が、ウクライナの銀行機関を破壊するためにサンドワームグループによって適用されました。このサイバー攻撃は、何百万ものインスタンスが侵害され、何十億ドルもの損失をもたらすグローバルな危機に発展しました。その後2018年に、ロシアは別の壊滅的なマルウェアである VPNフィルタを活用し、Auly塩素蒸留ステーションを攻撃しました。そして、2020-2021年まで、多くの政府機関や企業が攻撃されたことで、サンドワームAPTによる多数の破壊的なサイバー攻撃が勢いを増しました。ロシアの戦争行為の詳細なタイムラインを こちら.

インダストロイヤー2検出：サンドワームAPTによる最新攻撃

セキュリティ実務者は、Industroyer2およびCaddyWiperマルウェアの変種を含むサイバー攻撃を、WindowsおよびLinuxログソースに基づく一連の厳選されたSigmaルールを使用して、インフラストラクチャで検出できます：

サンドワームAPT（UAC-0082）によるサイバー攻撃を検出するためのSigmaルール

最新のサンドワームAPT（UAC-0082）活動に向けた専用の検出コンテンツを簡単に検索するために、上記の参照されたすべての検出アルゴリズムは、#UAC-0082として適切にタグ付けされています。

登録ユーザーのみがこれらの検出を SOC Primeの検出コード プラットフォームから活用できることに注意してください。この検出スタックに含まれるすべてのSigmaベースのルールは、ロシアの国家支援APTに対する500以上のボーナスルールの一部として、クレジットカード範囲#Sigma2SaveLivesサブスクリプション層を通じて利用可能です。各サブスクリプション購入からの収益の100％は、ウクライナのCome Back Alive Foundationに送られます。  #Sigma2SaveLives subscription tier as part of 500+ bonus rules against russian state-backed APTs. 100% of revenue from each subscription purchase goes to the Ukrainian Come Back Alive Foundation. 

セキュリティ専門家は、ルールキットから精選されたハンティングクエリを活用して、サンドワームAPTグループに関連する最新の脅威を狩り出すために、SOC Primeの クイックハントモジュールを使用して即座に検索することもできます。サンドワームAPTグループに関連する最新の脅威を狩り出す方法についての詳細は、こちらの ビデオチュートリアルをご参照ください。 

MITRE ATT&CK® コンテキスト

サンドワームAPTグループ/UAC-0082によるウクライナの電力施設を標的とした最新の破壊的サイバー攻撃のコンテキストを探索するために、専用のSigmaベースの検出ルールは、MITRE ATT&CK matrix v.10に整合され、関連するすべての方策と技術に対処しています：

セキュリティ専門家は、さらに以下の ATT&CK ナビゲータファイル でTTPのマッピングを確認することができます。詳細については、こちらをご参照ください こちら.