ウクライナ企業におけるサイバー攻撃で使用されるDoubleZero破壊型マルウェア:CERT-UA警告

[post-views]
3月 22, 2022 · 7 分で読めます
ウクライナ企業におけるサイバー攻撃で使用されるDoubleZero破壊型マルウェア:CERT-UA警告

この記事はCERT-UAによるオリジナルの調査に基づいています: https://cert.gov.ua/article/38088.

2022年3月17日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ウクライナ企業を標的とする新たな破壊的マルウェアの事例を発見しました。CERT-UAによって明らかにされ、DoubleZeroと名付けられたこの新しいマルウェアは、最近ウクライナを襲ったデータ破壊型マルウェアの一連に加わり、これには CaddyWiper, HermeticWiperWhisperGateが含まれています。関連するITシステムを作動不能にするために、このマルウェアは感染したマシン上のファイルを削除し、特定のレジストリブランチを破壊します。

DoubleZero攻撃のCERT-UA調査

CERT-UAは複数のZIPアーカイブを特定しました。その中の1つは Вирус… крайне опасно!!!.zipと名付けられています。各アーカイブには難読化された.NETプログラムが含まれています。分析後、特定されたプログラムはDoubleZeroに分類され、プログラミング言語C#で開発された破壊的マルウェアです。ファイルを削除する方法は2つあります。ファイルストリームの書き込みメソッドでゼロブロック(4096バイト)でファイルを上書きするか、API呼び出し(コード:FSCTL_SET_ZERO_DATA)を使用するかです。最初に、すべてのディスク上の非システムファイルが上書きされます。次に、マスクに基づいてシステムファイルのリストが作成され、対応する順序でファイルがソートされて上書きされます。次いで、以下のWindowsレジストリブランチが破壊されます:HKCU, HKU, HKLM, HKLMBCD。最後に、マシンがシャットダウンします。

この活動はUAC-0088識別子のもとでトラッキングされており、ウクライナ企業のITシステムを破壊しようとする試みと直接関連しています。

CERT-UAが提供したグラフィックは、DoubleZero破壊的マルウェアを使用した攻撃を示しています

世界的な妥協指標(IOC)

ファイル

36dc2a5bab2665c88ce407d270954d04    d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53    Вирус... крайне опасно!!!.zip
989c5de8ce5ca07cc2903098031c7134    8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5    csrss.zip
7d20fa01a703afa8907e50417d27b0a4    3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe    cpcrs.exe (DoubleZero)
b4f0ca61ab0c55a542f32bd4e66a7dc2    30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a    csrss.exe (DoubleZero)

IOCベースのハンティングクエリで検出 DoubleZero

セキュリティチームは、SOC PrimeのUncoder CTIツールを使って、上記のIOCをカスタムクエリに変換することで、IOCベースの脅威ハンティング能力を高めることができます。その瞬時に生成されるクエリは、あらかじめ設定されたハンティング環境で関連脅威を検索するための準備が整っています。Uncoder CTI は現在 無料で利用可能 です,2022年5月25日までにSOC Primeプラットフォームを活用する全てのセキュリティ専門家のために。

 

DoubleZeroを検出するためのSigma行動ベースのルール

DoubleZero破壊的マルウェアに関連する可能性のある悪意のある活動を検出するために、セキュリティ専門家はSOC Primeプラットフォームで提供される以下の行動ベースのルールを使用できます:

非通常パスからのシステムプロセスの実行(プロセス作成経由)

異常なシステムプロセスチェーン(プロセス作成経由)

MITRE ATT&CK®のコンテキスト

ウクライナ企業に対してDoubleZero破壊的マルウェアを使用する攻撃のコンテキストをさらに提供するために、上記のSigmaベースの検出は、MITRE ATT&CKフレームワークに基づいて次の戦術と技術に合わせて調整されています:

Tactics

Techniques

Sub-Techniques

Sigma Rules

Defense Evasion

Masquerading (T1036)

Process Injection (T1055)

Process Hollowing (T1055.012)

セキュリティ専門家はまた、SOC PrimeプラットフォームからのSigma検出とCERT-UAによって提供されるIOCに基づいて、MITRE ATT&CKコンテキストへのさらなる洞察を得るためにJSON形式で提供されるATT&CK Navigatorファイルをダウンロードすることができます:

ATT&CK NavigatorのJSONファイルをダウンロード

JSONファイルに適用可能な以下のバージョンに注意してください:

  • MITRE ATT&CK v10
  • ATT&CK Navigatorバージョン:4.5.5
  • レイヤーファイル形式:4.3

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース