Russisk APT udgiver mere dødbringende variant af AcidRain Wiper Malware

Forskere har afsløret en mere farlig og produktiv version af visker-malwaren brugt af russisk militær efterretningstjeneste til at forstyrre satellitbredbåndstjenesten i Ukraine lige før Ruslands invasion af landet i februar 2022.

Den nye variant, "AcidPour,” har flere ligheder med sin forgænger, men er kompileret til X86-arkitektur, i modsætning til AcidRain, som målrettede MIPS-baserede systemer. Den nye visker indeholder også funktioner til brug mod et betydeligt bredere udvalg af mål end AcidRain, ifølge forskere ved SentinelOne, der opdagede truslen.

Bredere destruktive evner

"AcidPours udvidede destruktive muligheder inkluderer Linux Unsorted Block Image (UBI) og Device Mapper (DM) logik, som påvirker håndholdte, IoT, netværk eller i nogle tilfælde ICS-enheder," siger Tom Hegel, senior trusselsforsker hos SentinelOne. "Enheder som SAN'er (Storage Area Networks), Network Attached Storage (NAS) og dedikerede RAID-arrays er nu også omfattet af AcidPours effekter."

En anden ny funktion i AcidPour er en selvsletningsfunktion, der sletter alle spor af malwaren fra systemer, den inficerer, siger Hegel. AcidPour er generelt en relativt mere sofistikeret visker end AcidRain, siger han og peger på sidstnævntes overdrevne brug af procesforgrening og uberettiget gentagelse af visse operationer som eksempler på dens generelle sjusk.

SentinelOne opdagede AcidRain i februar 2022 efter et cyberangreb slog omkring 10,000 satellitmodemmer offline tilknyttet kommunikationsudbyder Viasats KA-SAT netværk. Angrebet forstyrrede forbrugernes bredbåndstjeneste for tusindvis af kunder i Ukraine og titusindvis af mennesker i Europa. SentinelOne konkluderede, at malwaren sandsynligvis var værket af en gruppe tilknyttet Sandworm (aka APT 28, Fancy Bear og Sofacy), en russisk operation, der er ansvarlig for talrige forstyrrende cyberangreb i Ukraine.

SentinelOne-forskere opdagede først den nye variant, AcidPour, den 16. marts, men har endnu ikke observeret nogen bruge den i et egentligt angreb.

Sandormebånd

Deres indledende analyse af viskeren afslørede flere ligheder med AcidRain - hvilket et efterfølgende dybere dyk derefter bekræftede. De bemærkelsesværdige overlapninger, som SentinelOne opdagede, omfattede AcidPours brug af den samme genstartsmekanisme som AcidRain og identisk logik til rekursiv mappe-sletning.

SentinelOne fandt også, at AcidPours IOCTL-baserede aftørringsmekanisme var den samme som aftørringsmekanismen i AcidRain og i VPNFilter, en modulær angrebsplatform som det amerikanske justitsministerium har knyttet til Sandorm. IOCTL er en mekanisme til sikker sletning eller sletning af data fra lagerenheder ved at sende specifikke kommandoer til enheden.

"Et af de mest interessante aspekter ved AcidPour er dens kodningsstil, der minder om den pragmatiske CaddyWiper bredt brugt mod ukrainske mål sammen med bemærkelsesværdig malware som Industrispiller 2" sagde SentinelOne. Både CaddyWiper og Industroyer 2 er malware brugt af Rusland-støttede statsgrupper i destruktive angreb på organisationer i Ukraine, selv før Ruslands februar 2022 invasion af landet.

Ukraines CERT har analyseret AcidPour og tilskrevet UAC-0165, en trusselaktør, der er en del af Sandworm-gruppen, sagde SentinelOne.

AcidPour og AcidRain er blandt talrige vinduesviskere, som russiske aktører har indsat mod ukrainske mål i de seneste år - og især efter begyndelsen af ​​den nuværende krig mellem de to lande. Selvom trusselsaktøren formåede at slå tusindvis af modemer offline i Viasat-angrebet, var virksomheden i stand til at genoprette og geninstallere dem efter at have fjernet malwaren.

I mange andre tilfælde er organisationer dog blevet tvunget til at kassere systemer efter et viskerangreb. Et af de mest bemærkelsesværdige eksempler er 2012 Shamoon viskerangreb på Saudi Aramco, der lammede omkring 30,000 systemer hos virksomheden.

Som det var tilfældet med Shamoon og AcidRain, har trusselsaktører typisk ikke behøvet at gøre vinduesviskere sofistikerede for at være effektive. Det er fordi malwarens eneste funktion er at overskrive eller slette data fra systemer og gøre dem ubrugelige, så undvigende taktik og sløringsteknikker forbundet med datatyveri og cyberspionageangreb er ikke nødvendige.

Det bedste forsvar for vinduesviskere - eller at begrænse skader fra dem - er at implementere den samme slags forsvar som for ransomware. Det betyder at have sikkerhedskopier på plads til kritiske data og sikre robuste hændelsesresponsplaner og -kapaciteter.

Netværkssegmentering er også nøglen, fordi viskere er mere effektive, når de er i stand til at sprede sig til andre systemer, så den type forsvarsstilling hjælper med at forhindre sidebevægelser.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware