サンドワームの新たな攻撃 : Active Directory グループポリシーを悪用した新種のワイパー型マルウェア

親ロシア派 サンドワーム ( Sandworm ) 集団 は、2017 年の NotPetya 攻撃で悪名を馳せた APT 標的型攻撃グループです 。 最近、スイフトスライサー (SwiftSlicer) と いう 新種のワイパー型マルウェアを使ってウクライナの企業を攻撃したことが報告されました。

背景

1 月 27 日、ウクライナのサイバー攻撃に使われた新種のワイパーマルウェアを分析した結果が、ESET Research によりツイッターで 投稿 されました。「SwiftSlicer」と名付けられた新しいマルウェアが  Active Directory (AD) のグループポリシーを使って標的環境にデプロイされたという内容で、 ESET はこの攻撃を、 APT ( 高度に持続する脅威 ) を働く サンドワームグループによるものと判断しています。同グループは、 2017 年、ウクライナで NotPetya 攻撃 を行ったことで最もよく知られています。

#BREAKING 1 月 25 日に #ESETResearch がウクライナで新たなサイバー攻撃を観測。Active Directory のグループポリシーを悪用する新しいワイパーマルウェア #SwiftSlicer が攻撃に使われた。#SwiftSlicer ワイパーは Go 言語で作成されている。この攻撃は #Sandwormによるものと判断します。 1/3 pic.twitter.com/pMij9lpU5J

— ESET Research (@ESETresearch) 2023/1/7

分析

スイフトスライサーは、Go 言語で作成されたワイパー型マルウェアです。ドメインポリシーの変更により、ウクライナ国内の標的にデプロイされました。 AD のグループポリシーの変更が使われたということは、標的にアクセスした後、ドメインコントローラーが侵害されたことを示します。続いてスイフトスライサーは、シャドーコピーや、ドライバーディレクトリー「%CSIDL_SYSTEM%/drivers」、NT ディレクトリサービスのフォルダー「%CSIDL_SYSTEM%/Windows/NTDS」、その他の非システムドライブにあるファイルを無作為データで上書きしてマシンを強制再起動させました。

サンドワームグループは 2009 年には活動を開始していたことが確認されています。長年にわたってウクライナを組織的に攻撃し、ウクライナ国内のインフラや企業・組織を標的にした数々の攻撃で注目を集めてきました。事例として 2015 年および 2016 年の国内電力網の攻撃、 ならびに  2022 年の攻撃未遂事件が挙げられます。サンドワームは以前にも AD グループポリシーを悪用しています。2022 年初頭には、2 つの類似したワイパーの異形、HermeticWiper と CaddyWiper をグループポリシーの悪用を介して標的のデバイスに投入しました。

初期アクセスの悪用履歴のある脆弱性

iSIGHT Partners のリサーチ部門は、サンドワームグループによる標的組織に対するスピアフィッシング攻撃における 脆弱性の悪用について詳細を発表しています。 その内容によると、Windows のオブジェクトリンクと埋め込み (OLE) に存在するゼロデイ (CVE-2014-4114) や、Microsoft のグラフィックデバイスインターフェース (GDI+) に存在するリモートコード実行の脆弱性 (CVE-2013-3906) などの悪用が見られます。

2020 年にアメリカ国家安全保障局 (NSA) が 発行したサイバーセキュリティに関するアドバイザリ に、サンドワームによる CVE-2019-10149 (Exim メール転送エージェント内のリモートコマンド実行脆弱性 ) の悪用の詳細が記載されています。

2022 年には、ウクライナのコンピューター緊急対応チーム (CERT-UA) が、サンドワームが CVE-2022-30190 を悪用していることを観測したと警告しました。この CVE は、 Microsoft Windows のサポート診断ツール (MSDT) 内にあるリモートコード実行脆弱性で、 Follinaとも呼ばれているものです。

影響を受けているシステムの特定

サンドワームグループは、ゼロデイやスピアフィッシングの手口を使う常習犯です。ネットワークに侵入してさまざまなマルウェアをまき散らすことで知られています。今回の攻撃もその例ですが、AD を頻繁に利用して、できるだけ多くのマシンに感染を広げる手口を使います。ワイパー型のマルウェアを好んで使い、データを無効にしてワークステーションを稼働不能にする、破壊的なテクニックです。 ただし、被害者の環境内で足掛かりを維持するために、 AD そのものには多くの場合手を付けません。 We highly recommend reviewing your AD environment to focus on misconfigurations that may put your organization at risk. Tenable's Active Directory Security solution helps organizations gain visibility into your complex AD environment, predict what matters to reduce risk, and eliminate attack paths before attackers exploit them.

Tenable One サイバーエクスポージャー管理プラットフォーム は、公開された CVE (共通脆弱性識別子) の検出と修正を中心とした、従来の脆弱性管理の域を超えたソリューションです。Tenable One は、サイバーエクスポージャー管理対策の基礎となる必須情報を提供します。

Tenable は、サンドワームによる悪用が判明している CVE をカバーしています。 ダイナミックにフィルターされたリストを こちら からご覧ください。

詳細情報

• サンドワームグループについて

Tenable コミュニティで Tenable セキュリティレスポンスチームとの会話に参加してみませんか。

Tenable One、DX 時代のアタックサーフェスのためのエクスポージャー管理プラットフォームの詳細はこちらから