ウクライナに対するサイバー攻撃でこれまで知られていなかった脅威グループによって使用されている、新たに検出されたWhisperGateマルウェア
マイクロソフトは土曜日に、ウクライナ政府に対するサイバー攻撃で使用されている新しい破壊的なマルウェアについて警告しました。
可能性のあるマスターブートレコード(MBR)ワイパーによって説明されるように、Microsoftは、影響を受けたデバイスの電源がオフになり、ランサムウェアになりすましたときにマルウェアが実行されると述べていますが、身代金回復メカニズムがなく、破壊的でブリックターゲットのデバイスを対象としています。
技術の巨人はマルウェアを言います、それはそれが「ウィスパーゲート」は、13年2022月XNUMX日にウクライナの被害者システムに最初に登場し、すべてウクライナの複数の組織を標的にしました。
Microsoftは、観察された活動の間に顕著な関連性は見つかっていないと述べていますが、 DEV-0586)およびその他の既知の脅威グループ、ウクライナ 日曜日は「証拠」があると言った ロシアが攻撃の背後にいたこと。
キエフの民間部門のサイバーセキュリティ専門家 AP通信に語った 攻撃者がサプライチェーン攻撃で共有ソフトウェアサプライヤを介して政府のネットワークに侵入したこと。
「現在、マイクロソフトの可視性に基づいて、調査チームは影響を受ける数十のシステムでマルウェアを特定しており、調査が進むにつれてその数は増える可能性があります」とマイクロソフトは次のように述べています。 ブログ投稿。 「これらのシステムは、すべてウクライナに拠点を置く複数の政府、非営利、および情報技術組織にまたがっています。」
Microsoft Threat Intelligence Center(MSTIC)は、攻撃に関連する侵入の痕跡(IOC)とともに、戦術、技術、および手順(TTP)を共有しています。
[ ビデオ: サイバーセキュリティにおけるより良い情報共有に関するマイクロソフトのジョン・ランバート ]
「この攻撃者の運用サイクルの現在の段階や、ウクライナやその他の地理的な場所に他にいくつの被害者組織が存在する可能性があるかはわかりません」とMicrosoftは付け加えました。 「しかし、他の組織が報告しているように、これらの影響を受けるシステムが影響の全範囲を表す可能性は低いです。」
ウクライナのSBUセキュリティサービスによると、攻撃は少なくとも70の政府のWebサイトを標的にしたとのことです。
「ランサムウェアを装ったワイパーマルウェアの存在は目新しいものではありません」と、F-Secureの戦術防衛担当シニアマネージャーであるCalvinGan氏は語っています。 SecurityWeek。 「Microsoftが呼んでいるWhisperGateまたはDEV-0586は、 NotPetya 2017年に発見されました。これは、ランサムウェアを装ったワイパーマルウェアでもあります。 当時のNotPetyaは、ウクライナ、フランス、ロシア、スペイン、米国の多くの企業を不自由にしてきました。 次に、最近中東のターゲット組織でワイパーマルウェアを利用しているSentinelOneの研究者によって追跡されているAgriusグループもあります。」
マルウェアの破壊的な性質についてコメントし、Ganは、MBRを上書きするとマシンが起動できなくなり、特にマルウェアがMBRを上書きする前にファイルの内容も上書きする場合にリカバリが不可能になることを思い出します。
「ワイパーランサムウェアとファイル破損機能を組み合わせて展開するという攻撃者の真の意図は現時点では不明ですが、政府機関や関連施設を標的にすることは、これらの組織での運用を直ちに停止することを望んでいることを示しています。 おそらく、WhisperGateの身代金メモにあるビットコインウォレットアドレスと通信チャネルは、攻撃者の追跡を困難にする一方で、攻撃者の攻撃の真の意図に注意をそらすための煙幕です。」
ソース:https://www.securityweek.com/microsoft-uncovers-destructive-malware-used-ukraine-cyberattacks