Recorded Futureは3月24日(現地時間)、「IsaacWiper Continues Trend of Wiper Attacks Against Ukraine」において、ウクライナの政府および軍事関連機関に対するサイバー攻撃に使われた「IsaacWiper」と呼ばれるマルウェアに関する分析レポートを公開した。

IsaacWiperは標的となったマシンのすべての物理ディスクと論理ボリュームを上書きするワイパー型のマルウェアで、ロシアがウクライナに対する侵攻を開始した2022年2月24日に初めて観察された。

Recorded Futureのレポートには、IsaacWiperで使用されている技術や攻撃手順、侵害の痕跡(IOC)といった分析結果が掲載されており、重要なポイントとしては、次の項目が挙げられている。

  • IsaacWiperは、被害者のマシン上のすべての物理ディスクと論理ボリュームを上書きする
  • ウクライナへのサイバー攻撃に使われた3種類のワイパー型マルウェア(IsaacWiper、HermeticWiper、WhisperGate)の間にコードの重複はない。ただし、IsaacWiperはさまざまな方法で他の2つのマルウェアと同様の効果を発揮する

HermeticWiperは、2月23日のロシアによるウクライナ侵攻が始まる数時間前に観察されたワイパー型マルウェアである。被害者のディスクを破壊するだけでなく、ネットワーク内で自己増殖するための「HermeticWizard」と呼ばれるワーム型マルウェや、「HermeticRansom」と呼ばれるおとりのランサムウェアを含んでいることが判明している。

WhisperGateも同様のワイパー型マルウェアで、こちらは1月中旬にウクライナ政府機関の70以上のWebサーバが標的となったサイバー攻撃に用いられたことがわかっている。

HermeticWiperとIsaacWiperを発見したESETは、HermeticWiperの影響を受けなかった機関に対してIsaacWiperが使用された可能性があると報告しているが、両者の正確な関連性は現在も評価中とされている。また、これらのマルウェアは既知のマルウェアとのコードの重複がないため、一連の攻撃と既知の脅威アクターの活動を結びつけることはできないとのこと。

分析レポートの全文は次のリンク先からダウンロードできる。

  • IsaacWiper Continues Trend of Wiper Attacks Against Ukraine

    IsaacWiper Continues Trend of Wiper Attacks Against Ukraine