HermeticWiper マルウェア検出: CISA と FBI の勧告がウクライナ組織を狙った新しい破壊的サイバー攻撃を警告

2022年1月13日に 壊滅的なサイバー攻撃が ウクライナを襲い、同国政府のオンライン資産をダウンさせました。攻撃者は新しいデータ消去マルウェアであるWhisperGateを利用しました。. この影響力のある事件の直後、2月23日にサイバーセキュリティアナリストは、HermeticWiperと呼ばれる新たな破壊的なマルウェアがウクライナの組織をターゲットにしていることを明らかにしました。この新たに発見されたワイパーマルウェアは、マスターブートレコードを制御することによってWindowsデバイスを妨害し、連続した起動失敗を招きます。

HermeticWiperマルウェアの検出と軽減

HermeticWiperに関連する悪意のあるマルウェア活動を検出し、組織のインフラストラクチャをタイムリーに保護するために、セキュリティ専門家は最新の Sigmaベースの検出をダウンロードできます。これらはSOC Primeのクラウドソーシングイニシアティブ、Threat Bounty Programの熟練した開発者、 Emir Erdoan and Antonio Farinaの助けを借りて開発されました。すべての専用検出コンテンツはSOC PrimeのDetection as Codeプラットフォームでダウンロード可能です。

CrashDumpsの無効化 (HermeticWiper) – レジストリによる

この検出には、次のSIEM、EDR、XDRプラットフォームについての翻訳があります：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender for Endpoint、Securonix、Apache Kafka ksqlDB、Carbon Black、Qualys。

Sigmaルールは最新のMITRE ATT&CK®フレームワークv.10に対応し、Impair Defenses (T1562)を主要技術、Disable or Modify Tools (T1562.001)をサブ技術として扱います。

特定のドライバインストールによるHermeticWiperの可能性を検出

このSigmaルールには、次のSIEM、EDR、XDRプラットフォームについての翻訳があります: Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Apache Kafka ksqlDB。

2022年2月26日、サイバーセキュリティとインフラストラクチャセキュリティ庁（CISA）および連邦捜査局（FBI）は 共同アドバイザリを発行し WhisperGateとHermeticWiperに関連する悪意のある活動について組織に警告を行いました。このアドバイザリは、これらの悪名高いデータ消去マルウェア菌株による潜在的な悪用から会社のインフラを保護するための推奨事項と指針を提供します。HermeticWiperの軽減には、組織全体のサイバーセキュリティ耐性を強化するために次のステップが含まれます：

1. アンチウイルスおよびアンチマルウェアプログラムによる継続的な監視と定期的なスキャン
2. スピアフィッシングメールを防止するためにスパムフィルタソフトウェアを活用する
3. ネットワークトラフィックフィルタリングの適用
4. 予定されたソフトウェアアップデートを実行する
5. マルチファクタ認証を有効にする

HermeticWiperの分析

HermeticWiperと呼ばれるこのマルウェアは、サンプルにHermeticWiperデジタル署名を発行した会社名から由来しています。研究者は、ハッカーがシェルまたは非運用会社を利用して証明書を発行したと推測しています。

HermeticWiperの展開プロセスにおいて、それは特注の制限機能ソフトウェアを模倣します。サンプルは114KBで、リソースが負荷の約70％を占めます。敵対者は、無害なパーティションドライバを利用して、彼らの操作の最も有害な要素を実行するという、時代を経たワイパーマルウェア手法を利用しています。いくつかのハッカーギャングは、Windows APIを超えて、ファイルへの直接ユーザーランドアクセスのためにEldoS RawDiskを悪用したことが知られています。マルウェアが実行されると、それは SeBackupPrivilegeをアクティブにし、攻撃者にファイルの読み取りアクセスを付与します。HermeticWiperはその後、 SeLoadDriverPrivilegeを追加し、デバイスドライバをロードおよびアンロードすることを可能にし、さらに SEShutdownPrivilegeを付与して、侵入したシステムを停止可能にします。一度停止すると、起動プロセスを操作することはできません。マルウェアのワイパー機能を超える追加機能はまだ特定されていません。

参加する SOC PrimeのDetection as Codeプラットフォーム に参加して、グローバルなサイバーセキュリティの専門知識を使って脅威検出能力を強化しましょう。独自の検出コンテンツを提供し、共同サイバー防御を促進する方法をお探しですか？ SOC Primeのクラウドソーシングイニシアティブ に参加して、独自のSigmaとYARAルールを提出し、それらをプラットフォームへ公開し、より安全なサイバースペースに貢献し、貢献に対する定期的な報酬を受け取りましょう！