Venäjän APT julkaisee tappavamman version AcidRain Wiper -haittaohjelmasta

Tutkijat ovat löytäneet vaarallisemman ja tuotteliaamman version pyyhinhaittaohjelmasta, jota Venäjän sotilastiedustelu käytti häiritsemään satelliittilaajakaistapalvelua Ukrainassa juuri ennen Venäjän hyökkäystä maahan helmikuussa 2022.

Uusi versio, "AcidPour,” on monia yhtäläisyyksiä edeltäjänsä kanssa, mutta se on käännetty X86-arkkitehtuurille, toisin kuin AcidRain, joka kohdistui MIPS-pohjaisiin järjestelmiin. Uhan löytäneiden SentinelOnen tutkijoiden mukaan uudessa pyyhkimessä on myös ominaisuuksia, joita voidaan käyttää huomattavasti laajempia kohteita vastaan ​​kuin AcidRain.

Laajemmat tuhoavat ominaisuudet

"AcidPourin laajennettuihin tuhoaviin ominaisuuksiin kuuluvat Linux Unsorted Block Image (UBI) ja Device Mapper (DM) -logiikka, joka vaikuttaa kämmentietokoneisiin, IoT:hen, verkkoon tai joissakin tapauksissa ICS-laitteisiin", sanoo SentinelOnen vanhempi uhkatutkija Tom Hegel. "Myös laitteet, kuten tallennusalueverkot (SAN), verkkoon liitetyt tallennusvälineet (NAS) ja omistetut RAID-ryhmät, ovat nyt myös AcidPourin tehostettavissa."

Toinen AcidPourin uusi ominaisuus on itsepoistotoiminto, joka poistaa kaikki jäljet ​​haittaohjelmista järjestelmistä, joita se saastuttaa, Hegel sanoo. AcidPour on yleisesti ottaen suhteellisen kehittyneempi pyyhin kuin AcidRain, hän sanoo ja viittaa jälkimmäisen liialliseen prosessihaaroittamisen käyttöön ja tiettyjen toimintojen aiheettomaan toistamiseen esimerkkeinä sen yleisestä huolimattomuudesta.

SentinelOne löysi AcidRainin helmikuussa 2022 kyberhyökkäyksen seurauksena tyrmäsi noin 10,000 XNUMX satelliittimodeemia liittyy viestintätoimittaja Viasatin KA-SAT-verkkoon. Hyökkäys häiritsi kuluttajien laajakaistapalveluita tuhansille asiakkaille Ukrainassa ja kymmenille tuhansille ihmisille Euroopassa. SentinelOne päätteli, että haittaohjelma oli todennäköisesti Sandworm (alias APT 28, Fancy Bear ja Sofacy), venäläiseen operaatioon liittyvän ryhmän työ. lukuisia häiritseviä kyberhyökkäyksiä Ukrainassa.

SentinelOne-tutkijat havaitsivat ensimmäisen kerran uuden muunnelman, AcidPourin, 16. maaliskuuta, mutta eivät ole vielä havainneet kenenkään käyttävän sitä varsinaisessa hyökkäyksessä.

Sandworm siteet

Heidän alustava pyyhkimen analyysi paljasti useita yhtäläisyyksiä AcidRainin kanssa – minkä myöhempi syvemmälle suoritettu sukellus sitten vahvisti. SentinelOnen havaitsemiin merkittäviin päällekkäisyyksiin sisältyivät AcidPourin saman uudelleenkäynnistysmekanismin kuin AcidRainin käyttö ja identtinen logiikka rekursiivisessa hakemiston pyyhkimisessä.

SentinelOne havaitsi myös AcidPourin IOCTL-pohjaisen pyyhintämekanismin olevan sama kuin AcidRainin ja VPNFilterin pyyhintämekanismi. modulaarinen hyökkäysalusta joita Yhdysvaltain oikeusministeriöllä on linkitetty Sandwormiin. IOCTL on mekanismi tietojen turvalliseen poistamiseen tai pyyhkimiseen tallennuslaitteista lähettämällä laitteelle erityisiä komentoja.

"Yksi AcidPourin mielenkiintoisimmista puolista on sen koodaustyyli, joka muistuttaa pragmaattista CaddyWiper käytetään laajasti ukrainalaisia ​​kohteita vastaan ​​merkittävien haittaohjelmien, kuten haittaohjelmien, ohella Industroyer 2”, SentinelOne sanoi. Sekä CaddyWiper että Industroyer 2 ovat haittaohjelmia, joita Venäjän tukemat valtioryhmät käyttävät tuhoisiin hyökkäyksiin Ukrainan organisaatioita vastaan ​​jo ennen Venäjän helmikuussa 2022 tekemää hyökkäystä maahan.

Ukrainan CERT on analysoinut AcidPourin ja syyttänyt UAC-0165:tä, uhkatekijää, joka kuuluu Sandworm-ryhmään, SentinelOne sanoi.

AcidPour ja AcidRain ovat yksi lukuisista pyyhkijistä, joita venäläiset toimijat ovat käyttäneet Ukrainan kohteisiin viime vuosina – ja erityisesti nykyisen kahden maan välisen sodan alkamisen jälkeen. Vaikka uhkatekijä onnistui kaatamaan tuhansia modeemeja offline-tilaan Viasat-hyökkäyksessä, yritys pystyi palauttamaan ja asentamaan ne uudelleen haittaohjelman poistamisen jälkeen.

Monissa muissa tapauksissa organisaatiot ovat kuitenkin joutuneet hylkäämään järjestelmänsä pyyhkimen hyökkäyksen seurauksena. Yksi merkittävimmistä esimerkeistä on 2012 Shamoon pyyhkimen hyökkäys Saudi Aramcoa vastaan, joka lamautti noin 30,000 XNUMX yrityksen järjestelmää.

Kuten Shamoonin ja AcidRainin tapauksessa, uhkatoimijoiden ei yleensä ole tarvinnut tehdä pyyhkijistä kehittyneitä ollakseen tehokkaita. Tämä johtuu siitä, että haittaohjelman ainoa tehtävä on korvata tai poistaa tietoja järjestelmistä ja tehdä niistä hyödyttömiä. välttelevä taktiikka tietovarkauksiin ja kybervakoiluhyökkäuksiin liittyvät hämärätekniikat eivät ole välttämättömiä.

Paras suojaus pyyhkijöitä vastaan ​​– tai niiden aiheuttamien vahinkojen rajoittaminen – on ottaa käyttöön samanlaiset suojat kuin lunnasohjelmille. Tämä tarkoittaa kriittisten tietojen varmuuskopiointia ja vankkojen tapahtumien reagointisuunnitelmien ja -ominaisuuksien varmistamista.

Verkon segmentointi on myös avainasemassa, koska pyyhkimet ovat tehokkaampia, kun ne pystyvät leviämään muihin järjestelmiin, joten tällainen puolustusasento auttaa estämään sivuttaisliikkeet.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware