ロシアのAPT(高度な持続的脅威)グループが、より危険なバリアントのAcidRainワイパーマルウェア「AcidPour」をリリースしました。この新しいバリアントは、IoTデバイス、ストレージエリアネットワーク、ハンドヘルドデバイスなど、より広範囲のターゲットに対する攻撃が可能です。SentinelOneの研究者がこの脅威を発見しました。
AcidPourは、Linux Unsorted Block Image(UBI)とDevice Mapper(DM)ロジックを含む拡張された破壊機能を持ち、ハンドヘルド、IoT、ネットワーキング、場合によってはICSデバイスに影響を与えます。また、ストレージエリアネットワーク(SAN)、ネットワークアタッチドストレージ(NAS)、専用RAIDアレイもAcidPourの影響範囲に含まれます。このマルウェアは、感染したシステムから自身を完全に削除する自己削除機能も新たに備えています。
AcidPourは、2022年2月にウクライナでの衛星ブロードバンドサービスを妨害したロシア軍情報部による攻撃に使用されたAcidRainと多くの類似点を持ちますが、X86アーキテクチャ用にコンパイルされており、AcidRainがターゲットとしたMIPSベースのシステムとは異なります。SentinelOneの研究者は、AcidPourが同じ再起動メカニズムと再帰的なディレクトリ削除ロジックをAcidRainと共有していること、そしてVPNFilterの削除メカニズムと同じIOCTLベースの削除メカニズムを使用していることを発見しました。
ウクライナのCERTはAcidPourを分析し、Sandwormグループの一部であるUAC-0165という脅威アクターに帰属しています。AcidPourとAcidRainは、近年、ロシアがウクライナのターゲットに対して展開してきた多数のワイパーの中でも特に注目されています。
【ニュース解説】
ロシアの高度な持続的脅威(APT)グループが、新たなバリアントのワイパーマルウェア「AcidPour」をリリースしました。このマルウェアは、従来のAcidRainに比べて攻撃対象が大幅に拡大されており、IoTデバイス、ストレージエリアネットワーク(SAN)、ハンドヘルドデバイスなど、多岐にわたるターゲットに対する破壊活動が可能です。SentinelOneの研究者によって発見されたこの脅威は、Linux Unsorted Block Image(UBI)とDevice Mapper(DM)ロジックを利用して、対象デバイスに深刻な影響を与えることができます。
AcidPourは、感染したシステムから自身を完全に削除する機能を持ち、攻撃後の痕跡を残さないように設計されています。これは、攻撃の発見や分析を困難にすることで、被害の拡大や追跡の回避を狙っています。また、このマルウェアはX86アーキテクチャに対応しており、従来のMIPSベースのシステムだけでなく、より広範なデバイスに対する攻撃が可能になっています。
このようなワイパーマルウェアのリリースは、サイバーセキュリティの脅威が日々進化していることを示しています。特に、AcidPourのようなマルウェアは、その攻撃範囲の広さと破壊力の高さから、企業や組織にとって大きなリスクをもたらします。IoTデバイスやネットワークインフラストラクチャが攻撃対象に含まれることで、社会的なインフラやサービスに対する影響も懸念されます。
このような攻撃から身を守るためには、データのバックアップやインシデント対応計画の整備、ネットワークのセグメンテーションなど、ランサムウェア対策と同様の防御策が有効です。また、サイバーセキュリティの脅威に対する意識の高揚と、最新のセキュリティ情報の追跡が重要になります。
長期的な視点では、このような高度なマルウェアの出現は、サイバーセキュリティ技術の進化とともに、国際的な規制や協力体制の強化を促す可能性があります。サイバー攻撃は国境を越えるため、国際社会が一致団結して対応することが、今後の大きな課題となるでしょう。
from Russian APT Releases More Deadly Variant of AcidRain Wiper Malware.
