ウクライナ企業におけるサイバー攻撃で使用されるDoubleZero破壊型マルウェア:CERT-UA警告

最新の脅威

3月 22, 2022

7 分で読めます

ウクライナ企業におけるサイバー攻撃で使用されるDoubleZero破壊型マルウェア:CERT-UA警告

Andrii Bezverkhyi
Andrii Bezverkhyi CEO兼共同創設者

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

この記事はCERT-UAによるオリジナルの調査に基づいています: https://cert.gov.ua/article/38088.

2022年3月17日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ウクライナ企業を標的とする新たな破壊的マルウェアの事例を発見しました。CERT-UAによって明らかにされ、DoubleZeroと名付けられたこの新しいマルウェアは、最近ウクライナを襲ったデータ破壊型マルウェアの一連に加わり、これには CaddyWiper, HermeticWiperWhisperGateが含まれています。関連するITシステムを作動不能にするために、このマルウェアは感染したマシン上のファイルを削除し、特定のレジストリブランチを破壊します。

DoubleZero攻撃のCERT-UA調査

CERT-UAは複数のZIPアーカイブを特定しました。その中の1つは Вирус… крайне опасно!!!.zipと名付けられています。各アーカイブには難読化された.NETプログラムが含まれています。分析後、特定されたプログラムはDoubleZeroに分類され、プログラミング言語C#で開発された破壊的マルウェアです。ファイルを削除する方法は2つあります。ファイルストリームの書き込みメソッドでゼロブロック(4096バイト)でファイルを上書きするか、API呼び出し(コード:FSCTL_SET_ZERO_DATA)を使用するかです。最初に、すべてのディスク上の非システムファイルが上書きされます。次に、マスクに基づいてシステムファイルのリストが作成され、対応する順序でファイルがソートされて上書きされます。次いで、以下のWindowsレジストリブランチが破壊されます:HKCU, HKU, HKLM, HKLMBCD。最後に、マシンがシャットダウンします。

この活動はUAC-0088識別子のもとでトラッキングされており、ウクライナ企業のITシステムを破壊しようとする試みと直接関連しています。

CERT-UAが提供したグラフィックは、DoubleZero破壊的マルウェアを使用した攻撃を示しています

世界的な妥協指標(IOC)

ファイル

36dc2a5bab2665c88ce407d270954d04    d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53    Вирус... крайне опасно!!!.zip
989c5de8ce5ca07cc2903098031c7134    8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5    csrss.zip
7d20fa01a703afa8907e50417d27b0a4    3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe    cpcrs.exe (DoubleZero)
b4f0ca61ab0c55a542f32bd4e66a7dc2    30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a    csrss.exe (DoubleZero)

IOCベースのハンティングクエリで検出 DoubleZero

セキュリティチームは、SOC PrimeのUncoder CTIツールを使って、上記のIOCをカスタムクエリに変換することで、IOCベースの脅威ハンティング能力を高めることができます。その瞬時に生成されるクエリは、あらかじめ設定されたハンティング環境で関連脅威を検索するための準備が整っています。Uncoder CTI は現在 無料で利用可能 です,2022年5月25日までにSOC Primeプラットフォームを活用する全てのセキュリティ専門家のために。

 

DoubleZeroを検出するためのSigma行動ベースのルール

DoubleZero破壊的マルウェアに関連する可能性のある悪意のある活動を検出するために、セキュリティ専門家はSOC Primeプラットフォームで提供される以下の行動ベースのルールを使用できます:

非通常パスからのシステムプロセスの実行(プロセス作成経由)

異常なシステムプロセスチェーン(プロセス作成経由)

MITRE ATT&CK®のコンテキスト

ウクライナ企業に対してDoubleZero破壊的マルウェアを使用する攻撃のコンテキストをさらに提供するために、上記のSigmaベースの検出は、MITRE ATT&CKフレームワークに基づいて次の戦術と技術に合わせて調整されています:

Tactics

Techniques

Sub-Techniques

Sigma Rules

Defense Evasion

Masquerading (T1036)

Process Injection (T1055)

Process Hollowing (T1055.012)

セキュリティ専門家はまた、SOC PrimeプラットフォームからのSigma検出とCERT-UAによって提供されるIOCに基づいて、MITRE ATT&CKコンテキストへのさらなる洞察を得るためにJSON形式で提供されるATT&CK Navigatorファイルをダウンロードすることができます:

ATT&CK NavigatorのJSONファイルをダウンロード

JSONファイルに適用可能な以下のバージョンに注意してください:

  • MITRE ATT&CK v10
  • ATT&CK Navigatorバージョン:4.5.5
  • レイヤーファイル形式:4.3
SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Zahorulko CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に 8 分で読めます 最新の脅威 CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に by Veronika Zahorulko Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン 7 分で読めます 最新の脅威 Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン by Veronika Zahorulko