DynoWiperマルウェアがエネルギー企業を標的に
2025年12月下旬、ポーランドのエネルギー企業に対してDynoWiperと呼ばれる新たなデータワイピングマルウェアが展開されました。このマルウェアの戦術、技術、手順は、ウクライナで以前観測されたZOVワイパー事件と酷似しており、ESETは中程度の確信度でSandwormグループによるものと分析しています。ZOVとは異なり、DynoWiperの初期侵入方法に関する情報が限られているため、確信度はZOVより低くなっています。
Sandwormは、特にエネルギー企業などの重要インフラに対する破壊的なサイバー攻撃で知られる、ロシア系とされる脅威グループです。彼らは2015年から2016年にかけてウクライナのエネルギー企業を攻撃し、大規模な停電を引き起こしたことで悪名を馳せました。それ以来、SandwormはNotPetya、Industroyer、Olympic Destroyerなど、様々な破壊的マルウェアを展開しており、最近ではDynoWiperとZOVワイパーもその兵器庫に加わっています。米国司法省は、これらの作戦に関与したロシアGRUの士官6名を起訴しています。
DynoWiperの攻撃プロセスと特徴
DynoWiperによる攻撃は、主に3つの異なる段階で展開されました。2025年12月29日、3つのマルウェアサンプルがC:\inetpub\pub\schtask.exe、schtask2.exe、および更新実行ファイルとして展開されました。PDBパスの分析により、Vagrantユーザー名への参照が明らかになり、攻撃者が展開前に仮想マシン上でマルウェアをテストしていた可能性が示唆されています。最初の展開試行は失敗し、攻撃者は数時間以内にワイパーコードを修正し、2回再コンパイルしました。これら3つのバリアントはすべて、標的システムにインストールされていたEDR/XDRソリューションであるESET PROTECTによって最終的にブロックされました。
DynoWiperの動作は、実行開始時に生成される16バイトのランダムなバッファを使用してファイルを上書きするものです。ファイルが16バイト未満の場合、完全に上書きされますが、より大きなファイルはプロセスを高速化するために一部のみが破壊されます。第1段階では、System32、Windows、Program Files、AppDataなどの重要なシステムディレクトリを除外しながら、リムーバブルドライブおよび固定ドライブのファイルを再帰的にワイプします。第2段階では、バリアントによって動作が異なり、一部はルートロケーションで除外されたディレクトリをスキップしますが、最終的なschtask2.exeバリアントは、制限なしにDeleteFileWを介してすべてのファイルを削除します。第3段階では、システムの再起動を強制し、データ破壊を完了します。IndustroyerやIndustroyer2が運用技術(OT)環境を標的とするのに対し、DynoWiperはITインフラストラクチャのみに焦点を当てています。
ZOVワイパーとの類似点と追加の戦術
ESETの報告によると、攻撃者はワイパーの実行に先立ち、被害者のネットワーク内に追加のツールを展開していました。攻撃の初期段階では、公開されているKerberos悪用ユーティリティであるRubeusと、リバースコネクトモードで31.172.71[.]5:8008に設定されたSOCKS5プロキシツールであるrsocxのダウンロードが試みられました。DynoWiperは、ZOVとディレクトリエクスclusionロジックやファイルサイズに基づいた異なるファイルワイピングアプローチなど、運用上の類似点を多く示しています。攻撃者は、Windowsタスクマネージャーを介したLSASSプロセスのダンプも試みました。プロキシサーバーはロシアのウラジオストクにあるプログラミング学校「ProGame」に辿り着き、このインフラが侵害された可能性が示唆されています。
2025年11月にウクライナの金融機関に対する作戦中に検出されたZOVは、「ZOV」というプレフィックスとヌルバイトが付いた特徴的な4,098バイトのバッファを書き込みます。データ破壊後、ZOVは残りのドライブコンテンツを削除するコマンドシーケンスを実行し、ロシア軍のシンボルが描かれたデスクトップ壁紙を表示しながらシステムの再起動を強制します。
帰属の根拠と課題
本攻撃の帰属分析では、複数の支持要因が特定されています。具体的には、Sandwormの過去の戦術・技術・手順(TTP)との運用上の重複、グループの重要インフラへの焦点との整合性、およびポーランドがSandwormの標的であった過去の履歴が挙げられます。しかし、Sandwormがポーランドで公然たる破壊的キャンペーンよりも、秘密裏の作戦や偽装されたランサムウェア攻撃を好むという歴史があること、さらに初期侵入の可視性が限られているため、準備段階における脅威アクターの包括的な帰属特定が困難であるという反論も存在します。
この攻撃は、Sandwormが侵入全体にわたって高い特権アクセスを取得し維持する能力を実証したものです。CERT Polskaがこの重要な脅威活動のインシデント調査と詳細な分析を実施しました。
IOCs(侵害指標)
以下のIoC(侵害指標)が提供されています。
- SHA-1: 472CA448F82A7FF6F373A32FDB9586FD7C38B631, Filename: TMP_Backup.tmp.exe, Detection: Win32/KillFiles.NMJ, Description: ZOV wiper.
- SHA-1: 4F8E9336A784A196353023133E0F8FA54F6A92E2, Filename: TS_5WB.tmp.exe, Detection: Win32/KillFiles.NMJ, Description: ZOV wiper.
- SHA-1: 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6, Filename: <redacted>_update.exe, Detection: Win32/KillFiles.NMO, Description: DynoWiper.
- SHA-1: 86596A5C5B05A8BFBD14876DE7404702F7D0D61B, Filename: schtask.exe, Detection: Win32/KillFiles.NMO, Description: DynoWiper.
- SHA-1: 69EDE7E341FD26FA0577692B601D80CB44778D93, Filename: schtask2.exe, Detection: Win32/KillFiles.NMO, Description: DynoWiper.
- SHA-1: 9EC4C38394EA2048CA81D48B1BD66DE48D8BD4E8, Filename: rsocx.exe, Detection: Win64/HackTool.Rsocx.A, Description: rsocx SOCKS5 proxy tool.
- SHA-1: 410C8A57FE6E09EDBFEBABA7D5D3E4797CA80A19, Filename: Rubeus.exe, Detection: MSIL/Riskware.Rubeus.A, Description: Rubeus toolset for Kerberos attacks.