Исследователи обнаружили более опасную и распространенную версию вредоносного ПО Wiper, которое использовалось российской военной разведкой для нарушения работы спутниковой широкополосной связи на Украине незадолго до российского вторжения в страну в феврале 2022 года.
Новый вариант, «КислотаPour,» имеет множество общих черт со своим предшественником, но скомпилирован для архитектуры X86, в отличие от AcidRain, предназначенного для систем на базе MIPS. По словам исследователей из SentinelOne, обнаруживших угрозу, новый Wiper также включает в себя функции, позволяющие его использовать против значительно более широкого круга целей, чем AcidRain.
Более широкие разрушительные возможности
«Расширенные разрушительные возможности AcidPour включают в себя логику Linux Unsorted Block Image (UBI) и Device Mapper (DM), которая влияет на портативные устройства, Интернет вещей, сети или, в некоторых случаях, на устройства ICS», — говорит Том Хегель, старший исследователь угроз в SentinelOne. «Такие устройства, как сети хранения данных (SAN), сетевые хранилища (NAS) и выделенные RAID-массивы, теперь также находятся в зоне действия AcidPour».
Еще одна новая возможность AcidPour — это функция самоудаления, которая стирает все следы вредоносного ПО из заражаемых им систем, говорит Хегель. По его словам, AcidPour в целом является относительно более сложной программой очистки, чем AcidRain, указывая на чрезмерное использование в последнем разветвлений процессов и необоснованное повторение определенных операций как на примеры его общей небрежности.
SentinelOne обнаружил AcidRain в феврале 2022 года после кибератаки, которая вывел из строя около 10,000 XNUMX спутниковых модемов связан с сетью KA-SAT провайдера связи Viasat. В результате атаки были нарушены услуги широкополосного доступа для тысяч клиентов в Украине и десятков тысяч людей в Европе. SentinelOne пришел к выводу, что вредоносное ПО, скорее всего, является работой группы, связанной с Sandworm (также известной как APT 28, Fancy Bear и Sofacy), российской организацией, ответственной за многочисленные разрушительные кибератаки в Украине.
Исследователи SentinelOne впервые заметили новый вариант AcidPour 16 марта, но пока не заметили, чтобы кто-то использовал его в реальной атаке.
Галстуки с песчаными червями
Их первоначальный анализ стеклоочистителя выявил множество сходств с AcidRain, что затем подтвердилось при последующем более глубоком погружении. Заметные совпадения, обнаруженные SentinelOne, включали использование AcidPour того же механизма перезагрузки, что и AcidRain, и идентичную логику для рекурсивной очистки каталогов.
SentinelOne также обнаружил, что механизм очистки AcidPour на основе IOCTL аналогичен механизму очистки в AcidRain и VPNFilter, модульная атакующая платформа что Министерство юстиции США имеет связан с песчаным червем. IOCTL — это механизм безопасного стирания или удаления данных с устройств хранения путем отправки на устройство определенных команд.
«Одним из самых интересных аспектов AcidPour является его стиль кодирования, напоминающий прагматичный подход. КэддиВайпер широко используется против украинских целей наряду с такими известными вредоносными программами, как Индустройер 2— сказал SentinelOne. И CaddyWiper, и Industroyer 2 — это вредоносные программы, используемые поддерживаемыми Россией государственными группами в деструктивных атаках на организации в Украине еще до вторжения России в страну в феврале 2022 года.
Украинский CERT проанализировал AcidPour и приписал UAC-0165, злоумышленнику, входящему в группу Sandworm, сообщает SentinelOne.
AcidPour и AcidRain входят в число многочисленных «дворников», которые российские субъекты использовали против украинских целей в последние годы, особенно после начала нынешней войны между двумя странами. Несмотря на то, что злоумышленнику удалось вывести из строя тысячи модемов в результате атаки Viasat, компания смогла восстановить и повторно развернуть их после удаления вредоносного ПО.
Однако во многих других случаях организации были вынуждены отказаться от систем после атаки с использованием вайперов. Одним из наиболее ярких примеров является 2012 г. Shamoon атака Wiper на Saudi Aramco, в результате которой было повреждено около 30,000 XNUMX систем компании.
Как и в случае с Shamoon и AcidRain, злоумышленникам обычно не нужно усложнять дворники, чтобы они были эффективными. Это связано с тем, что единственная функция вредоносного ПО — перезаписывать или удалять данные из систем и делать их бесполезными. тактика уклонения и методы запутывания, связанные с кражей данных и атаками кибершпионажа, не нужны.
Лучшая защита от вайперов (или ограничение ущерба от них) — это реализация того же типа защиты, что и от программ-вымогателей. Это означает наличие резервных копий критически важных данных и обеспечение надежных планов и возможностей реагирования на инциденты.
Сегментация сети также имеет ключевое значение, поскольку вайперы более эффективны, когда они могут распространяться на другие системы, поэтому такой тип защитной позиции помогает предотвратить боковое перемещение.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware