DYNOWIPER：ポーランドのエネルギー部門を狙う破壊的なマルウェア

まとめ

• 12 月29日、 2025 、ポーランドのエネルギー インフラを標的とした一連の破壊的なサイバー攻撃が発生し、 30 以上の再生可能エネルギー施設と大規模な熱電併給発電 (CHP) プラントが影響を受けました。
• DYNOWIPERと呼ばれるカスタムワイパーマルウェアは、侵害されたネットワーク上のデータを不可逆的に破壊するために使用されました。
• CERT Polskaは、攻撃インフラをシスコがStatic Tundra、CrowdstrikeがBerserk Bear、マイクロソフトがGhost Blizzard、シマンテックがDragonflyと呼ぶ脅威クラスターと分類している。
• Elastic Defendのランサムウェア対策は、カナリアファイル監視を使用してDYNOWIPERの実行を正常に検出し、防止します。

背景

重要なエネルギーインフラに対する組織的な破壊活動は、ポーランドの厳しい冬の天候期間中の 12 月29 、 2025に発生しました。

CERT Polska のレポートによると、このキャンペーンの標的は以下のとおりです。

• ポーランド全土に30以上の風力発電所と太陽光発電所
• 約50万人の顧客に熱を供給する大規模な熱電併給発電所
• 機会主義的なターゲットとして特徴付けられる製造業の企業

攻撃ベクトル

脅威アクターは、12月29日より前にインターネットに公開されていたFortinet FortiGateデバイスを通じて、以下のものを悪用して初期アクセスを獲得したと報告されています。

• 多要素認証なしで認証を可能にするVPNインターフェース
• 複数の施設間で再利用された資格情報
• パッチ未適用のデバイスにおける過去の脆弱性

攻撃者は数か月にわたって産業オートメーション システムの偵察を実施し、特に SCADA システムと OT ネットワークを標的にしました。この間、攻撃者は Active Directory データベース、FortiGate 構成、OT ネットワークの近代化に関連するデータを盗み出しました。

DYNOWIPERの詳細

Elastic Security Labs は、オープンソースからの DYNOWIPER サンプルを独自に分析しました。このサンプルは、CERT Polska によって文書化された亜種の 1 つに類似しています。

サンプルメタデータ

破壊メカニズム

ドライブの列挙

マルウェアは、 GetLogicalDrives()を使用してすべての論理ドライブ (AZ) を列挙し、 DRIVE_FIXED (ハード ドライブ) とDRIVE_REMOVABLE (USB ドライブ、SD カード) のタイプのみをターゲットにします。

ファイルの破損

DYNOWIPER は、メルセンヌツイスター PRNG を使用して、ファイル破損の疑似ランダムデータを生成します。ファイル全体を上書きするのではなく (時間がかかります)、次の方法で戦略的にファイルを破損します。

1. ファイル保護属性の削除 SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
2. CreateFileWを使用して読み取り/書き込みアクセス用にファイルを開きます
3. ファイルヘッダーを 16 バイトのランダムデータで上書きしています
4. 大きなファイルの場合は、最大4,096個のランダムオフセットを生成し、それぞれを16バイトのシーケンスで上書きします。

このアプローチでは、データが回復不可能であることを保証しながら、多くのファイルを急速に破損させることができます。

ディレクトリ除外リスト

マルウェアは、攻撃中にシステムの安定性を維持するために、システムにとって重要なディレクトリを意図的に回避します。

• windows, system32
• program files, program files(x86)
• boot、 appdata 、 temp
• recycle.bin, $recycle.bin
• perflogs, documents and settings

この設計選択により、システムが不安定になる前にデータ破壊が最大化され、ワイパーがその使命を完了することが保証されます。

強制再起動

破損と削除のフェーズが完了すると、DYNOWIPER は次の処理を実行します。

1. プロセストークンを取得するには OpenProcessToken()
2. AdjustTokenPrivileges()経由でSeShutdownPrivilege有効にします
3. システムを強制的に再起動します ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

注目すべき特徴

DYNOWIPER はいくつかの特徴によって区別されます:

• 持続メカニズムなし - マルウェアは再起動しても生き残ろうとしない
• C2通信なし - 完全にスタンドアロン、ネットワークコールバックなし
• シェルコマンドの呼び出しなし - すべての操作はWindows API経由で実行されます
• 分析回避技術なし - 検出やデバッグを回避しようとする試みなし
• 特性PDBパス: C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

PDB パスで「vagrant」が使用されていることは、開発が Vagrant 管理の仮想マシン環境で行われたことを示しています。

バージョンの違い

CERT Polska は 2 つの DYNOWIPER バージョン (A と B) を文書化しました。私たちが分析したサンプルはバージョン A に相当します。バージョン B では、システム シャットダウン機能が削除され、破損フェーズと削除フェーズの間に 5 秒間のスリープが追加されました。

エラスティックディフェンド保護

DYNOWIPER サンプルのテスト中に、Elastic Defend はマルウェアが被害を引き起こす前に検出し、軽減することに成功しました。

検出アラート

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

カナリア保護の仕組み

Elastic Defend のランサムウェア保護では、変更されるとアラートをトリガーするカナリア ファイル (戦略的に配置されたおとりファイル) が採用されています。DYNOWIPER の無差別なファイル破損アプローチにより、カナリア ファイルが変更されました。

ワイパーがこのカナリア ファイルを破損させようとしたとき、Elastic Defend は直ちに次の操作を実行しました。

1. 疑わしい変更パターンを検出しました
2. さらなる実行をブロック
3. 高信頼度のランサムウェアアラートを生成しました（リスクスコア：73）

Elastic Defend は今回のインシデントで使用された EDR ソリューションではありませんでしたが、この形式の多層防御は実際の侵入において非常に重要でした。CERT Polska によると、CHP プラントに導入された EDR ソリューションは、上記で強調したのと同じカナリア保護テクノロジーを使用して、DYNOWIPER がすでに実行を開始していた 100 台以上のマシンでのデータ上書きを停止しました。

行動検出が重要な理由

破壊的なマルウェアは、リスクを最小限に抑える上で特有の課題をもたらす可能性があります。

• C2接続を確立できない可能性がある（ネットワークインジケーターなし）
• 永続化メカニズム（限定的なフォレンジックアーティファクト）を使用しない場合があります
• 彼らは迅速かつ破壊的に実行する
• 静的シグネチャベースの検出では新しい変異体を見逃す可能性がある

カナリア ファイルなどによる動作保護は、新しいマルウェアであっても新しいものであっても検出できる重要な防御層を提供します。

侵害の兆候

ファイルハッシュ（DYNOWIPER）

配布スクリプト

ネットワークインジケーター

YARAルール

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

提案機能

即時の行動

1. 行動ベースのランサムウェア対策を導入する- シグネチャベースの検出だけでは、新しいワイパーに対しては不十分である
2. すべてのVPNおよびリモートアクセスソリューションでMFAを有効にする- 攻撃者はMFAのないアカウントを悪用した
3. FortiGateとエッジデバイスの構成を監査- 不正なアカウント、ルール、スケジュールされたタスクをチェック
4. デフォルトの認証情報を確認する- 産業用デバイス（RTU、HMI、シリアルサーバー）は、多くの場合、デフォルトのパスワードで出荷されます。

検出機会

監視対象:

• GetLogicalDrives API呼び出しの後に大量のファイル操作が続く
• SetFileAttributesW 大規模な呼び出し設定FILE_ATTRIBUTE_NORMAL
• SeShutdownPrivilege権限昇格に続いてExitWindowsExの権限昇格
• GPOの変更により、SYSTEM権限でスケジュールされたタスクが作成される
• 複数のドライブで同時に異常なファイル変更が発生する

回復に関する考慮事項

• オフライン/エアギャップバックアップからの復元- オンラインバックアップがターゲットになっている可能性があります
• 復元前にバックアップの整合性を確認する
• 資格情報の侵害を想定して、すべてのパスワード、特にドメイン管理者アカウントをリセットします。
• 影響を受けたシステムに接続されている可能性のあるすべてのリムーバブルメディアを監査する

まとめ

12 月のポーランドのエネルギー部門に対する 2025 攻撃は、重要なインフラに対する破壊的なサイバー攻撃の大幅なエスカレーションを示しています。DYNOWIPER は技術的には高度ではありませんが、脅威の攻撃者が事前に広範囲に設定したアクセスと組み合わせると、迅速なデータ破壊に効果的であることが証明されました。

この事件は、多層防御戦略、特に、新しいかどうかに関わらず破壊的なマルウェアを識別できる動作検出機能の重要性を強調しています。Elastic Defend のランサムウェア保護、特にカナリア ファイルの監視は、DYNOWIPER が破壊的なミッションを完了する前に検出してブロックするのに効果的であることが証明されました。

重要なインフラ分野の組織は、このレポートに記載されている TTP と CERT Polska の包括的な分析に照らしてセキュリティ体制を見直す必要があります。

---

参照資料

• CERT Polska:エネルギー部門インシデントレポート – 29 12月

• Cisco Talos:静的なツンドラ
• FBI IC3: PSA250820

MITRE ATT&CK マッピング