ウクライナ政府機関を狙う破壊的なマルウェアをMicrosoftが特定、ランサムウェアのような見た目で身代金回収メカニズムなし

ウクライナ政府の関連機関を集中的に狙って破壊的な工作を行うマルウェア操作の証拠を、Microsoft脅威インテリジェンスセンター(MSTIC)がつかみました。MSTICが「DEV-0586」と名付けたこの攻撃は、PC内のファイルを暗号化して人質に取り、復号用キーと引き換えに身代金を要求するランサムウェアのような動きを偽装しつつ、実際には身代金を回収するメカニズムが搭載されておらず、デバイスを動作不能にすることを目的としているとのことです。

Malware attacks targeting Ukraine government - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2022/01/15/mstic-malware-cyberattacks-ukraine-government/

Destructive malware targeting Ukrainian organizations - Microsoft Security Blog
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

「DEV-0586」が初めて検出されたのは2022年1月13日のこと。MSTICの調査によると、マルウェアは2種類あり、「stage1.exe」と呼ばれるものは「C:\PerfLogs」「C:\ProgramData」「C:\」「C:\temp」などの作業フォルダーに存在し、被害システムのマスターブートレコード(MBR)を身代金のメモで上書きします。メモの内容は、ランサムウェア攻撃でよく知られる「HDDを回復したい場合はビットコインを支払う必要がある」といったものです。

しかし、ランサムウェアなら通常「復号するためのキーを送るので身代金を払え」と要求するためにファイルの内容を暗号化するのですが、「DEV-0586」はランサムウェアに偽装したマルウェアなので、回復手段の余地なくMBRを上書きしてしまうとのこと。身代金メモの内容も、ランサムウェアなら被害者からの連絡を受け取れるようにフォーラムやメールを含む複数の連絡手段が用意されていますが、「DEV-0586」の場合は暗号通信プロトコル・ToxのIDのみとなっていたり、復号用のキーに紐付けるためのカスタムIDが用意されていなかったりと、「それっぽい形式を取っているだけ」となっています。

もう1つの「stage2.exe」と呼ばれるものは、悪意のあるファイル破壊マルウェアのダウンローダーです。stage2.exeは実行時、Discordでホストされている次のステージのマルウェアをダウンロードし、システム内の特定フォルダーの特定拡張子を探し、ヒットした場合、ファイルの内容をすべて上書きした上で、ファイル名をランダムな4バイトの拡張子に変更するとのこと。対象となる拡張子は以下のものだとのこと。

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK.VMEM。VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX YML .ZIP

MSTICによると、このマルウェアがMicrosoft製品やサービスの脆弱(ぜいじゃく)性を利用している兆候はないとのこと。

なお、ロイターはウクライナの高官の言として、この攻撃がベラルーシの諜報機関に関連するグループの仕業であると報じています。ベラルーシは親ロシアの立場にある同盟国で、マルウェアはロシアの諜報機関に関連するグループが用いたものと同様のものだとのことです。

EXCLUSIVE Ukraine suspects group linked to Belarus intelligence over cyberattack | Reuters
https://www.reuters.com/world/europe/exclusive-ukraine-suspects-group-linked-belarus-intelligence-over-cyberattack-2022-01-15/