Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サンドワームの新たな攻撃 : Active Directory グループポリシーを悪用した新種のワイパー型マルウェア




サンドワームが新たに Active
Directory 
グループポリシーを悪用した新種のワイパー型マルウェアで攻撃したことに関する Tenable Research による Cyber Exposure Alert
サンドワームの新たな攻撃 : Active Directory グループポリシーを悪用した新種のワイパー型マルウェア

親ロシア派 サンドワーム ( Sandworm ) 集団 は、2017 年の NotPetya 攻撃で悪名を馳せた APT 標的型攻撃グループです 。 最近、スイフトスライサー (SwiftSlicer) と いう 新種のワイパー型マルウェアを使ってウクライナの企業を攻撃したことが報告されました。

背景

1 月 27 日、ウクライナのサイバー攻撃に使われた新種のワイパーマルウェアを分析した結果が、ESET Research によりツイッターで 投稿 されました。「SwiftSlicer」と名付けられた新しいマルウェアが  Active Directory (AD) のグループポリシーを使って標的環境にデプロイされたという内容で、 ESET はこの攻撃を、 APT ( 高度に持続する脅威 ) を働く サンドワームグループによるものと判断しています。同グループは、 2017 年、ウクライナで NotPetya 攻撃 を行ったことで最もよく知られています。

分析

スイフトスライサーは、Go 言語で作成されたワイパー型マルウェアです。ドメインポリシーの変更により、ウクライナ国内の標的にデプロイされました。 AD のグループポリシーの変更が使われたということは、標的にアクセスした後、ドメインコントローラーが侵害されたことを示します。続いてスイフトスライサーは、シャドーコピーや、ドライバーディレクトリー「%CSIDL_SYSTEM%/drivers」、NT ディレクトリサービスのフォルダー「%CSIDL_SYSTEM%/Windows/NTDS」、その他の非システムドライブにあるファイルを無作為データで上書きしてマシンを強制再起動させました。

サンドワームグループは 2009 年には活動を開始していたことが確認されています。長年にわたってウクライナを組織的に攻撃し、ウクライナ国内のインフラや企業・組織を標的にした数々の攻撃で注目を集めてきました。事例として 2015 年および 2016 年の国内電力網の攻撃、 ならびに  2022 年の攻撃未遂事件が挙げられます。サンドワームは以前にも AD グループポリシーを悪用しています。2022 年初頭には、2 つの類似したワイパーの異形、HermeticWiperCaddyWiper をグループポリシーの悪用を介して標的のデバイスに投入しました。

初期アクセスの悪用履歴のある脆弱性

iSIGHT Partners のリサーチ部門は、サンドワームグループによる標的組織に対するスピアフィッシング攻撃における 脆弱性の悪用について詳細を発表しています。 その内容によると、Windows のオブジェクトリンクと埋め込み (OLE) に存在するゼロデイ (CVE-2014-4114) や、Microsoft のグラフィックデバイスインターフェース (GDI+) に存在するリモートコード実行の脆弱性 (CVE-2013-3906) などの悪用が見られます。

2020 年にアメリカ国家安全保障局 (NSA) が 発行したサイバーセキュリティに関するアドバイザリ に、サンドワームによる CVE-2019-10149 (Exim メール転送エージェント内のリモートコマンド実行脆弱性 ) の悪用の詳細が記載されています。

2022 年には、ウクライナのコンピューター緊急対応チーム (CERT-UA) が、サンドワームが CVE-2022-30190 を悪用していることを観測したと警告しました。この CVE は、 Microsoft Windows のサポート診断ツール (MSDT) 内にあるリモートコード実行脆弱性で、 Follinaとも呼ばれているものです。

影響を受けているシステムの特定

サンドワームグループは、ゼロデイやスピアフィッシングの手口を使う常習犯です。ネットワークに侵入してさまざまなマルウェアをまき散らすことで知られています。今回の攻撃もその例ですが、AD を頻繁に利用して、できるだけ多くのマシンに感染を広げる手口を使います。ワイパー型のマルウェアを好んで使い、データを無効にしてワークステーションを稼働不能にする、破壊的なテクニックです。 ただし、被害者の環境内で足掛かりを維持するために、 AD そのものには多くの場合手を付けません。 We highly recommend reviewing your AD environment to focus on misconfigurations that may put your organization at risk. Tenable's Active Directory Security solution helps organizations gain visibility into your complex AD environment, predict what matters to reduce risk, and eliminate attack paths before attackers exploit them.

Tenable One サイバーエクスポージャー管理プラットフォーム は、公開された CVE (共通脆弱性識別子) の検出と修正を中心とした、従来の脆弱性管理の域を超えたソリューションです。Tenable One は、サイバーエクスポージャー管理対策の基礎となる必須情報を提供します。

Tenable は、サンドワームによる悪用が判明している CVE をカバーしています。 ダイナミックにフィルターされたリストを こちら からご覧ください。

詳細情報

Tenable コミュニティで Tenable セキュリティレスポンスチームとの会話に参加してみませんか。

Tenable One、DX 時代のアタックサーフェスのためのエクスポージャー管理プラットフォームの詳細はこちらから

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加