最近の敵対行為がロシアとウクライナの間で始まったとき、ESETの研究者は、ウクライナの組織を標的とするいくつかのマルウェアファミリーを発見しました。

• 2月23上^rd、2022年、HermeticWiperを使用した破壊的なキャンペーンは、複数のウクライナの組織を標的にしました。
• このサイバー攻撃は、数時間前に、ロシア連邦軍によるウクライナの侵略が始まりました。
• 初期アクセスベクトルは、組織ごとに異なります。 ワイパーがGPOによってドロップされたケースを確認し、別の侵害されたネットワークでワイパーを拡散するために使用されたワームを発見しました。
• マルウェアのアーティファクトは、攻撃が数か月間計画されていたことを示唆しています。
• 2月24上^th、2022年、IsaacWiperという名前のワイパーを使用して、ウクライナ政府ネットワークに対するXNUMX回目の破壊的攻撃が開始されました。
• ESET Researchは、これらの攻撃を既知の脅威アクターに帰することはまだできていません。

ウクライナでの破壊的な攻撃

このESETResearchで述べられているように ツイート および WLSブログ投稿、14月52日の23:XNUMX頃に始まった、ウクライナのコンピューターに対する破壊的な攻撃を発見しました。^rd、2022UTC。 これは、分散型サービス拒否（DDoS）に続くものです。 主要なウクライナのウェブサイトに対する攻撃 そしてロシア軍の侵略に数時間先行した。

これらの破壊的な攻撃は、少なくともXNUMXつのコンポーネントを利用しました。

• 気密ワイパー：データを破壊することにより、システムを動作不能にします
• 気密ウィザード：HermeticWiperをWMIとSMBを介してローカルネットワーク全体に拡散します
• ハーメティック身代金：Goで書かれたランサムウェア

HermeticWiperは、少なくともXNUMXつのウクライナの組織の数百のシステムで観察されました。

2月24上^th、2022年、ウクライナ政府のネットワークでさらに別の新しいワイパーが検出されました。 これをIsaacWiperと名付け、現在、HermeticWiperとのリンクがある場合はそれを評価しています。 それがあった組織で見られたことに注意することが重要です HermeticWiperの影響を受けます。

特定

現時点では、既知の脅威アクターとの具体的な関係は見つかりませんでした。 HermeticWiper、HermeticWizard、およびHermeticRansomは、ESETマルウェアコレクションの他のサンプルとコードの重要な類似性を共有していません。 IsaacWiperもまだ属性がありません。

タイムライン

HermeticWiperとHermeticWizardは、に割り当てられたコード署名証明書（図1に表示）によって署名されています。 ハーメティカデジタル株式会社 13月XNUMX日発行^th、2021年。発行元のCA（DigiCert）に、証明書を取り消すように要求しました。これは24月XNUMX日に行われました。^th、2022。

図1.HermeticDigitalLtdに割り当てられたコード署名証明書

によると、 ロイターによる報告、この証明書はHermeticaDigitalから盗まれたものではないようです。 代わりに、攻撃者がDigiCertからこの証明書を取得するために、キプロスの会社になりすました可能性があります。

ESETの研究者は、影響を受ける組織がワイパーの展開よりもかなり前に侵害されたと確信を持って評価しています。 これはいくつかの事実に基づいています：

• HermeticWiperPEコンパイルタイムスタンプ。最も古いのは28月XNUMX日です。^th、2021
• 13月XNUMX日のコード署名証明書の発行日^th、2021
• 少なくともXNUMXつのインスタンスでGPOを介してHermeticWiperを展開すると、攻撃者がその被害者のActiveDirectoryサーバーのXNUMXつに事前にアクセスしたことが示唆されます

イベントは、図2のタイムラインに要約されています。

図2.重要なイベントのタイムライン

初期アクセス

気密ワイパー

初期アクセスベクトルは現在不明ですが、対象組織内での横方向の動きのアーティファクトが観察されています。 XNUMXつのエンティティでは、ワイパーは、システム上のパスで示されているように、既定のドメインポリシー（GPO）を介して展開されました。

C:Windowssystem32GroupPolicyDataStore