ロシアのハッカーがWinRARを使用してウクライナ国家機関のデータを消去

ロシアの「Sandworm」ハッキンググループは、政府のデバイス上のデータを破壊するためにWinRarが使用されたウクライナ国家ネットワークへの攻撃に関連しているとされている。

ウクライナ政府コンピュータ緊急対応チーム（CERT-UA）は新たな勧告の中で、ロシアのハッカーらが多要素認証で保護されていない侵害されたVPNアカウントを使用して、ウクライナ国家ネットワークの重要システムにアクセスしたと述べた。

ネットワークにアクセスできるようになると、WinRar アーカイブ プログラムを使用して Windows および Linux マシン上のファイルを消去するスクリプトが使用されました。

Windows では、Sandworm が使用する BAT スクリプトは「RoarBat」です。これは、ディスクおよび特定のディレクトリで doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin、dat を保存し、WinRAR プログラムを使用してアーカイブします。

ただし、WinRar が実行されると、脅威アクターは「-df」コマンド ライン オプションを使用し、ファイルがアーカイブされるときに自動的に削除します。 その後、アーカイブ自体が削除され、デバイス上のデータが事実上削除されました。

CERT-UAによると、RoarBATはスケジュールされたタスクを作成し、グループポリシーを使用してWindowsドメイン上のデバイスに一元的に配布することで実行されるという。

Linux システムでは、攻撃者は代わりに Bash スクリプトを使用し、「dd」ユーティリティを使用してターゲット ファイル タイプをゼロ バイトで上書きし、その内容を消去しました。 このデータ置換により、dd ツールを使用して「空」になったファイルを回復することは、完全に不可能ではないにしても、可能性は低くなります。

「dd」コマンドと WinRar は両方とも正規のプログラムであるため、攻撃者はこれらをセキュリティ ソフトウェアによる検出を回避するために使用した可能性があります。

CERT-UAは、この事件は2023年1月にウクライナ国営通信社「ウクリンフォルム」を襲った別の破壊的攻撃に似ており、これもサンドワームによるものだとしている。

「悪意のある計画の実行方法、アクセス対象の IP アドレス、および RoarBat の修正版を使用したという事実は、Telegram チャネルで公開された情報である Ukrinform に対するサイバー攻撃との類似性を証明しています。」 Cyber​​ArmyofRussia_Reborn」、2023 年 1 月 17 日。 CERT-UA アドバイザリを読みます。

CERT-UA は、国内のすべての重要な組織に対し、攻撃対象領域を減らし、欠陥にパッチを当て、不要なサービスを無効にし、管理インターフェイスへのアクセスを制限し、ネットワーク トラフィックとログを監視することを推奨しています。

いつものように、企業ネットワークへのアクセスを許可する VPN アカウントは多要素認証で保護する必要があります。

Google: 2023 年にロシアのフィッシング攻撃の 60% がウクライナを標的に

新しいCS:GOマップはウクライナ戦争ニュースに対するロシアの検閲を回避する

ハッカーは偽の「Windows Update」ガイドを使用してウクライナ政府を標的に

英国サイバー庁、新たな「クラス」のロシア人ハッカーについて警告

3億人のデータをロシア人に販売したウクライナ人逮捕