SwiftSlicer

また新しいワイパーが観測されています。
ワイパーは、マルウェアの一種で、感染したコンピュータのハードディスクドライブ内のデータを完全消去するなどして使用不能にする目的で使用されます。
SwiftSlicerはどんなものでしょうか。

• 観測された場所
  ウクライナでの活動が観測されています。
• Go
  このマルウェアはGo言語で作成されています。
• 拡散方法
  初期感染のルートは現在明らかになっていません。
  観測されている被害環境での拡散方法には、Active Directoryのグループポリシーが悪用されています。
• Active Directoryの端末の破壊
  Active Directoryのメンバーであるパソコンを破壊します。
  シャドウコピーを削除し、ローカルの環境を破壊します。
  破壊はランダムに生成されたバイトで満たされた4096バイトのブロックを使用してデータを上書きすることで実施されます。
  十分にファイルを壊した後、マルウェアはパソコンを再起動します。
• Active Directoryのサーバの破壊
  このマルウェアはActive Directoryのサーバも破壊します。
  Active Directoryを構成する重要なデータベースファイルなどを破壊します。
  破壊されるPATHは、%CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS、などです。
  CSIDLはconstant special item ID listです。
  Windowsシステムに存在する特殊なフォルダを識別するために利用できる方法になっています。
  例えば、
  Windowsフォルダは、あるシステムでは “C:\Windows” であったり、別のシステムでは “C:\Winnt” であったりと、プラットフォームによって異なります。
  それぞれの環境でこれらのものがどこに存在するのかを知る方法としてCSIDLの値を使うことができます。
  で、driversは文字通りドライバー、NTDSはActive Directoryのデータベースファイルがそれぞれ置かれる場所です。
  ドライバーもデータベースも破壊されたActive Directoryは、無事に利用できる状態とは思えません。

現在すでに各種アンチウイルス製品ベンダーはこの脅威の検出ができるように活動している状態です。
VirusTotalで2023年1月30日朝時点で確認すると、登録された70製品中44製品がこのマルウェアを検出できています。
環境を妥当に最新の状態で利用することで感染拡大は防止することができるように思えます。

HermeticWiperやCaddyWiperの時もそうでしたが、ワイパーを使って侵害環境を破壊しようとする脅威アクターは、複数のワイパーを使用して破壊を進めようとするようです。
SwiftSlicerに関連付けられている脅威アクターは、Windows向けだけでなく、Linuxなどの他の環境向けのワイパーであるAWFULSHREDなども使用します。
Windowsシステムだけでなく、環境全体の堅実な運用の実施が必要ということに思えます。

参考記事（外部リンク）：SwiftSlicer: New destructive wiper malware strikes
Ukraine
www.welivesecurity.com/2023/01/27/swiftslicer-new-destructive-wiper-malware-ukraine/