AcidPour

AcidPourはワイパー型マルウェアです。
新たに強力な実装を持つマルウェアが確認されました。
2022年に似たワイパーが大きな被害を出していました。
いくつものワイパーがありましたが、その一つにAcidRainというものがありました。
最近の研究で、このAcidRainとAcidPourには、なんらかの関連性があることがわかってきています。
コードの類似性はあまり高くありませんが、関連性はあると考えられます。
どんなものなのでしょうか。

• ターゲットOS
  観測されたAcidPourのサンプルは、Linux向けにコンパイルされたものでした。
  AcidRainもLinux向けでしたが、AcidRainはMISPアーキテクチャ向けなのに対して、AcidPourはx86アーキテクチャ向けにコンパイルされたものでした。
• 類似する2つのマルウェアの機能
  2つのワイパーは別々のマルウェアですが、機能面で見た場合に同じ機能となっている部分がいくつかあることが分かりました。
  まず、再起動のメカニズム、再帰的ディレクトリワイピングのロジックが同じでした。
  そして、IOCTLベースのワイピングメカニズムを使用しているという点も、他のマルウェアでは類似したものがあまりない中での大きな共通点として確認されました。
• 新機能：サポートデバイスの拡張
  AcidRainは、多くのデバイスをワイプすることができるものでした。
  AcidPourは、それに加えて、さらに多くのデバイスのワイプができるように拡張されていました。
  追加されたデバイスには、フラッシュメモリのボリューム管理用のデバイス、ソフトウェアRAIDで使用される/dev/dm-XXというPATHのデバイスがありました。
  これらの追加により、より広いタイプの機器がこのマルウェアの影響を受けるようになったといえます。
• 新機能：ライブラリの不使用
  通常アプリケーションを作成する場合、既存のライブラリを使用してコーディングする必要のある量を減らします。
  開発が効率化されますし、実装に手間がかかりません。
  しかし、AcidPourの実装では、ライブラリは使用されていませんでした。
  AcidPourはC言語で作成されているのですが、直接そのコードの中でシステムコールしたり、インラインアセンブリコードを使用したりして、機構を実現していることが分かりました。
• 新機能：自己削除
  AcidPourには、自己削除機能も実装されました。
  単に削除するのではなく、メモリにマップして、その内容にクリアするための内容を上書きしていく機構となっていました。
  発見されにくくすることが狙われたものと考えられます。

多くの類似点やその目的の同一性などから、AcidPourはAcidRainの後継であると考えられます。
最近ワイパー型マルウェアが話題になることは多くありませんでしたが、このジャンルのマルウェアも継続的に進化を続けていることが浮き彫りになってきました。
ワイパーはターゲットシステムの破壊を目的としています。
被害にあったシステムは、運用が継続できなくなります。
一般のシステムにおいても大きな脅威となりますが、ターゲットとなってしまったシステムが重要インフラだったとしたらどうでしょうか。
電気、ガス、水道、通信、こういったシステムで破壊活動が行われた場合、その被害は深刻なものになることが考えられます。

多機能なローダーも多くありますので、どこか一つのシステムのほころびから侵入されて、大きな破壊につながってしまうということも考えられます。
安全のための確実な運用の継続が重要といえそうです。

参考記事（外部リンク）：AcidPour | New Embedded Wiper Variant of AcidRain Appears in
Ukraine
www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/