ESET Research جدول زمانی از حملات سایبری که از بدافزار پاک کن استفاده میکردند و از زمان تهاجم روسیه به اوکراین در سال 2022 رخ داده است، تهیه کرده است.
این وبلاگ یک نمای کلی از حملات مخرب برف پاک کن که از ابتدای سال 2022، کمی قبل از شروع تهاجم نظامی روسیه در اوکراین مشاهده کردهایم، ارائه میکند. ما توانستیم بیشتر این حملات را به آن نسبت دهیم کرم ماسه ای، با درجات مختلف اطمینان. مجموعه شامل حملاتی است که توسط ESET دیده شده است، و همچنین برخی از آنها که توسط منابع معتبر دیگر مانند CERT-UA، Microsoft و SentinelOne گزارش شده است.
توجه: از تاریخ های تقریبی (~) زمانی استفاده می شود که تاریخ دقیق استقرار نامشخص یا نامشخص باشد. در برخی موارد از تاریخ کشف یا (در مورد اکتشافات غیر ESET) تاریخ انتشار حمله استفاده می شود.
قبل از تهاجم
در میان امواج متعدد از حملات DDoS که در آن زمان موسسات اوکراینی را هدف قرار داده بودند WhisperGate بدافزار در 14 ژانویه مورد حمله قرار گرفتth, 2022. برف پاک کن به عنوان باج افزار مخفی شد و تکرار NotPetya از ژوئن 2017 بود – تاکتیکی که در حملات بعدی نیز دیده می شود.
در 23 فوریهrd، 2022، یک کمپین مخرب با استفاده از هرمتیک وایپر صدها سیستم را در حداقل پنج سازمان اوکراینی هدف قرار دادند. این پاک کننده داده برای اولین بار درست قبل از ساعت 17:00 به وقت محلی (15:00 UTC) مشاهده شد: حمله سایبری تنها چند ساعت قبل از تهاجم نیروهای فدراسیون روسیه به اوکراین انجام شد. در کنار HermeticWiper، کرم HermeticWizard و باج افزار مصنوعی HermeticRansom نیز در این کمپین مستقر شدند.
هجوم و موج بهاری
در 24 فوریهthدر سال 2022، با آب شدن زمستان اوکراین، دومین حمله مخرب علیه یک شبکه دولتی اوکراین با استفاده از برف پاک کن که نام بردیم آغاز شد. آیزاک وایپر.
همچنین در روز تهاجم، باران اسیدی کمپین برف پاک کن مودم های Viasat KA-SAT را هدف قرار داده است که در خارج از اوکراین نیز سرریز شده است.
برف پاک کن دیگری که در ابتدا توسط مایکروسافت فاش شد، این است DesertBlade، بنا بر گزارش ها در 1 مارس مستقر شده استst، 2022 و دوباره در حدود 17 مارسth، 2022. همین گزارش همچنین به حملات با استفاده از برف پاک کن های کمپین Hermetic، یعنی HermeticWiper (مایکروسافت آن را FoxBlade می نامد) در حدود 10 مارس 2022، HermeticRansom (مایکروسافت آن را SonicVote می نامد) در حدود 17 مارس اشاره می کند.th، 2022، و حمله ای در حدود 24 مارسth، 2022 با استفاده از HermeticWiper و HermeticRansom.
CERT-UA در مورد کشف خود از DoubleZero برف پاک کن در 17 مارسth، 2022.
در ماه مارس 14th، 2022، محققان ESET با استفاده از یک حمله شناسایی کردند CaddyWiper، که یک بانک اوکراینی را هدف قرار داد.
در آوریل 1st، 2022، ما دوباره CaddyWiper را شناسایی کردیم، این بار توسط بارگیری می شود ArguePatch loader، که معمولاً یک باینری اصلاح شده و قانونی است که برای بارگیری کد پوسته از یک فایل خارجی استفاده می شود. ما سناریوی مشابهی را در 16 مه 2022 شناسایی کردیم، جایی که ArguePatch به شکل یک باینری ESET اصلاح شده.
ما همچنین در 8 آوریل پشت سر هم ArguePatch-CaddyWiper را شناسایی کردیمth، 2022، در بلندپروازانه ترین حملات کرم شنی از آغاز تهاجم: تلاش ناموفق آنها برای ایجاد اختلال در جریان برق با استفاده از Industroyer2. علاوه بر ArguePatch و CaddyWiper، در این حادثه، ما همچنین برف پاککنهایی را برای پلتفرمهای غیر ویندوزی کشف کردیم: ORCSHRED، SOLOSHRED، و AWFULSHRED. برای جزئیات، نگاه کنید به اطلاع رسانی توسط CERT-UA، و ما پست وبلاگ WeLiveSecurity.
تابستانی آرام تر
در ماههای تابستان در مقایسه با ماههای گذشته، تعداد کمتری از کمپینهای برف پاک کن در اوکراین کشف شد، اما چندین حمله قابل توجه رخ داد.
ما با CERT-UA روی موارد استقرار ArguePatch (و CaddyWiper) علیه مؤسسات اوکراینی کار کرده ایم. اولین حادثه در هفته منتهی به 20 ژوئن رخ دادth، 2022 و دیگری در 23 ژوئنrd، 2022.
موج پاییزی
با کاهش دما برای آماده شدن برای زمستان شمالی، در 3 اکتبرrdما در سال 2022 نسخه جدیدی از CaddyWiper را شناسایی کردیم که در اوکراین مستقر شده است. برخلاف نسخههای مورد استفاده قبلی، این بار CaddyWiper به عنوان یک باینری ویندوز x64 کامپایل شد.
در اکتبر 5th، 2022، نسخه جدیدی از HermeticWiper را شناسایی کردیم که در VirusTotal آپلود شده بود. عملکرد این نمونه HermeticWiper مانند نمونه های قبلی با چند تغییر جزئی بود.
در اکتبر 11thدر سال 2022، باجافزار Prestige را شناسایی کردیم که علیه شرکتهای لجستیک در اوکراین و لهستان مستقر شده است. این کمپین هم بود توسط مایکروسافت گزارش شده است.
در همان روز، ما همچنین یک برف پاک کن ناشناخته را شناسایی کردیم که نام آن را NikoWiper گذاشتیم. این برف پاک کن علیه یک شرکت در بخش انرژی در اوکراین استفاده شد. NikoWiper بر اساس انتخاب مجدد ابزار خط فرمان مایکروسافت برای حذف امن فایل ها.
در ماه نوامبر 11th، 2022، CERT-UA یک پست وبلاگی منتشر کرد در مورد یک حمله با استفاده از باج افزار مصنوعی Somia.
در ماه نوامبر 21st، سال 2022، باج افزار جدیدی را در اوکراین شناسایی کردیم که در دات نت نوشته شده بود و نام آن را گذاشتیم. RansomBoggs. باجافزار به فیلم Monsters, Inc ارجاعهای متعددی دارد. ما مشاهده کردیم که اپراتورهای بدافزار از اسکریپتهای POWERGAP برای استقرار این فایلکد استفاده کردند.
ژانویه 2023
در سال 2023 حملات مخرب علیه مؤسسات اوکراینی ادامه دارد.
در 1 ژانویهst، 2023، ما اجرای آن را شناسایی کردیم انتخاب مجدد ابزار در یک فروشنده نرم افزار اوکراینی.
حمله دیگری با استفاده از چند برف پاک کن، این بار علیه یک خبرگزاری اوکراینی، در 17 ژانویه رخ دادth، 2023، طبق CERT-UA. پاک کننده های زیر در این حمله شناسایی شدند: CaddyWiper، ZeroWipe، SDelete، AwfulShred و BidSwipe. BidSwipe قابل توجه است، زیرا یک پاک کننده سیستم عامل FreeBSD است.
در 25 ژانویهth، 2023، ما یک برف پاک کن جدید را شناسایی کردیم که در Go نوشته شده بود و نام آن را نامگذاری کردیم SwiftSlicer، علیه نهادهای دولتی محلی اوکراین مستقر شده است.
تقریباً در تمام موارد ذکر شده در بالا، Sandworm از Active Directory Group Policy (T1484.001) برای استقرار برف پاک کن ها و باج افزارها، به طور خاص با استفاده از اسکریپت POWERGAP.
نتیجه
استفاده از برف پاک کن های مخرب - و حتی برف پاک کن هایی که به عنوان باج افزار ظاهر می شوند - توسط گروه های APT روسی، به ویژه Sandworm، علیه سازمان های اوکراینی به سختی جدید است. از حدود سال 2014، BlackEnergy از پلاگین های مخرب استفاده کرد. پاک کن KillDisk یک مخرج مشترک در حملات Sandworm در گذشته بود. و زیرگروه Telebots چندین حمله پاک کن را راه اندازی کرده است که بدنام ترین آنها NotPetya است.
با این حال، تشدید کمپین های برف پاک کن از زمان تهاجم نظامی در فوریه 2022 بی سابقه بوده است. نکته مثبت این است که بسیاری از حملات شناسایی و خنثی شده اند. با این حال، ما به نظارت دقیق اوضاع ادامه می دهیم، زیرا انتظار داریم حملات ادامه یابد.
ESET Research همچنین گزارشهای اطلاعاتی خصوصی APT و فیدهای داده را ارائه میدهد. برای هرگونه سوال در مورد این سرویس، به آدرس زیر مراجعه کنید ESET Threat Intelligence با ما
IoC ها
فایل ها
SHA-1 | نام فایل | نام تشخیص ESET | توضیحات: |
---|---|---|---|
189166D382C73C242BA45889D57980548D4BA37E | stage1.exe | Win32/KillMBR.NGI | بازنویس MBR مرحله 1 WhisperGate. |
A67205DC84EC29EB71BB259B19C1A1783865C0FC | N / A | Win32/KillFiles.NKU | بار نهایی مرحله 2 WhisperGate. |
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 | com.exe | Win32/KillDisk.NCV | هرمتیک وایپر. |
61B25D11392172E587D8DA3045812A66C3385451 | conhosts.exe | Win32/KillDisk.NCV | هرمتیک وایپر. |
F32D791EC9E6385A91B45942C230F52AFF1626DF | cc2.exe | WinGo/Filecoder.BK | هرمتیک رنسوم. |
86906B140B019FDEDAABA73948D0C8F96A6B1B42 | ukrop | Linux/AcidRain.A | باران اسیدی. |
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 | cl64.dll | Win32/KillMBR.NHP | آیزاک وایپر. |
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 | cld.dll | Win32/KillMBR.NHQ | آیزاک وایپر. |
E9B96E9B86FAD28D950CA428879168E0894D854F | clean.exe | Win32/KillMBR.NHP | آیزاک وایپر. |
5C01947A49280CE98FB39D0B72311B47C47BC5CC | clean.exe | Win32/KillMBR.NHP | آیزاک وایپر. |
59F5B9AECE751E58BE16E7F7A7A6D8C044F583BE | cll.exe | Win32/KillMBR.NHQ | آیزاک وایپر. |
172FBE91867C1D6B7F3E2899CEA69113BB1F21A0 | notes.exe | WinGo/KillFiles.A | برف پاک کن DesertBlade. |
46671348C1A61B3A8BFBA025E64E5549B7FDFA98 | N / A | Win32/KillDisk.NCV | هرمتیک وایپر. |
DB0DA0D92D90657EA91C02336E0605E96DB92C05 | clrs.exe | Win32/KillDisk.NCV | هرمتیک وایپر. |
98B3FB74B3E8B3F9B05A82473551C5A77B576D54 | caddy.exe | Win32/KillDisk.NCX | CaddyWiper. |
320116162D78AFB8E00FD972591479A899D3DFEE | cpcrs.exe | MSIL/KillFiles.CK | برف پاک کن DoubleZero. |
43B3D5FFAE55116C68C504339C5D953CA25C0E3F | csrss.exe | MSIL/KillFiles.CK | برف پاک کن DoubleZero. |
48F54A1D93C912ADF36C79BB56018DEFF190A35C | ukcphone.exe | Win32/Agent.AECG | لودر پوسته کد ArguePatch. |
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 | peremoga.exe | Win32/Agent.AECG | لودر پوسته کد ArguePatch. |
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 | pa1.pay | Win32/KillDisk.NDA | کد پوسته CaddyWiper رمزگذاری شده |
3CDBC19BC4F12D8D00B81380F7A2504D08074C15 | wobf.sh | Linux/KillFiles.C | برف پاک کن لینوکس AwfulShred. |
8FC7646FA14667D07E3110FE754F61A78CFDE6BC | wsol.sh | Linux/KillFiles.B | پاک کردن سولاریس SoloShred. |
796362BD0304E305AD120576B6A8FB6721108752 | eset_ssl_filtered_cert_importer.exe | Win32/Agent.AEGY | لودر پوسته کد ArguePatch. |
8F3830CB2B93C21818FDBFCF526A027601277F9B | spn.exe | Win32/Agent.AEKA | لودر پوسته کد ArguePatch. |
3D5C2E1B792F690FBCF05441DF179A3A48888618 | mslrss.exe | Win32/Agent.AEKA | لودر پوسته کد ArguePatch. |
EB437FF79E639742EE36E89F30C6A21072B86CBC | caclcly.exe | Win64/Agent.BQZ | CaddyWiper x64. |
57E3D0108636F6EE56C801F128306AD43AF60EE6 | cmrss.exe | Win32/KillDisk.NCV | هرمتیک وایپر. |
986BA7A5714AD5B0DE0D040D1C066389BCB81A67 | open.exe | Win32/Filecoder.Prestige.A | فایل کد پرستیژ. |
C7186DEF5E9C3E1B01BF506F538F5D6185377A9C | sysate32.exe | Win32/Filecoder.Prestige.A | فایل کد پرستیژ. |
59621F5EFC311FDFE66683266CE9CB17F8227B23 | mstc_niko.exe | Win32/DelAll.NAH | نیکو وایپر. |
84E6A010B372D845C723A8B8D7DDD8D79675DCE5 | Sullivan.1.v2.0.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
F4D1C047923B9D10031BB709AABF1A250AB0AAA2 | Sullivan.1.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
9A3D63C6E127243B3036BC0E242789EC1D2AB171 | Sullivan.2.v2.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
BB187EB125070176BD7EC6C57CFF166708DD60E1 | Sullivan.2.v4.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
3D593A39FA20FED851B9BEFB4FF2D391B43BDF08 | Sullivan.v2.5.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
021308C361C8DE7C38EF135BC3B53439EB4DA0B4 | Sullivan.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | فایل کد RansomBoggs. |
7346E2E29FADDD63AE5C610C07ACAB46B2B1B176 | help.exe | WinGo/KillFiles.C | برف پاک کن SwiftSlicer. |
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/
- 1
- 2014
- 2017
- 2021
- 2022
- 2023
- 9
- a
- قادر
- درباره ما
- فعال
- فعالیت
- اضافه
- در برابر
- نمایندگی
- معرفی
- در کنار
- جاه طلب
- و
- دیگر
- آوریل
- APT
- دور و بر
- حمله
- حمله
- بانک
- مستقر
- قبل از
- شروع
- بودن
- تماس ها
- کمپین بین المللی حقوق بشر
- مبارزات
- مورد
- موارد
- تبادل
- اس ام اس
- COM
- مشترک
- شرکت
- شرکت
- مقایسه
- اعتماد به نفس
- تماس
- ادامه دادن
- حمله سایبری
- حملات سایبری
- داده ها
- تاریخ
- تاریخ
- روز
- گسترش
- مستقر
- گسترش
- اعزام ها
- جزئیات
- شناسایی شده
- کشف
- DID
- کشف
- کشف
- مختل کردن
- نفاق افکن
- پایین
- رها کردن
- برق
- انرژی
- اشخاص
- تحقیقات ESET
- به خصوص
- اروپا
- حتی
- اعدام
- انتظار
- خارجی
- فوریه
- فدراسیون
- کمی از
- پرونده
- فایل ها
- نهایی
- نام خانوادگی
- جریان
- پیروی
- نیروهای
- فرم
- freebsd
- از جانب
- قابلیت
- Go
- دولت
- دولتی
- گروه
- گروه ها
- ساعت ها
- اما
- HTTPS
- صدها نفر
- شناسایی
- اثرات
- in
- شرکت
- حادثه
- شامل
- در ابتدا
- موسسات
- اطلاعات
- تهاجم
- IT
- ژانویه
- راه اندازی
- لاین
- لینوکس
- بار
- بارکننده
- محلی
- دولت محلی
- تدارکات
- اکثریت
- نرم افزارهای مخرب
- بسیاری
- مارس
- اشاره می کند
- مایکروسافت
- نظامی
- خردسال
- اصلاح شده
- مانیتور
- ماه
- اکثر
- سینما
- چندگانه
- تحت عنوان
- از جمله
- خالص
- شبکه
- جدید
- اخبار
- قابل توجه
- قابل توجه
- نوامبر
- متعدد
- رخ داده است
- اکتبر
- پیشنهادات
- اپراتور
- سازمان های
- OS
- دیگر
- خارج از
- مروری
- گذشته
- شاید
- محل
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- پلاگین ها
- لهستان
- سیاست
- مثبت
- هدیه
- اعتبار
- قبلی
- قبلا
- خصوصی
- انتشار
- منتشر شده
- باجافزار
- منابع
- گزارش
- گزارش
- گزارش ها
- مشهور
- تحقیق
- محققان
- rt
- روسی
- فدراسیون روسیه
- همان
- سناریو
- اسکریپت
- دوم
- بخش
- ایمن
- سرویس
- چند
- به زودی
- مشابه
- پس از
- وضعیت
- نرم افزار
- سولاریس
- برخی از
- منابع
- به طور خاص
- بهار
- صحنه
- آغاز شده
- راه افتادن
- اعتصاب
- تابستان
- سیستم های
- پشت سر هم
- هدف قرار
- هدف گذاری
- La
- شان
- تهدید
- زمان
- جدول زمانی
- به
- با هم
- به طور معمول
- اوکراین
- اوکراین
- مردد
- بی سابقه
- آپلود شده
- us
- استفاده کنید
- ساعت محلی UTC تنظیم شده اند
- سودمندی
- نسخه
- امواج
- هفته
- که
- وسیع
- پنجره
- زمستان
- مشغول به کار
- کرم
- خواهد بود
- کتبی
- سال
- زفیرنت