Az orosz APT kiadta az AcidRain Wiper malware halálosabb változatát

A kutatók felfedezték az orosz katonai hírszerzés által a szélessávú műholdas szolgáltatás megzavarására Ukrajnában közvetlenül az ország 2022 februári orosz inváziója előtt használt ablaktörlő malware egy veszélyesebb és termékenyebb verzióját.

Az új változat, "AcidPour,” számos hasonlóságot mutat elődjével, de X86 architektúrára lett fordítva, ellentétben az AcidRain-nel, amely a MIPS-alapú rendszereket célozta meg. A SentinelOne fenyegetést felfedező kutatói szerint az új ablaktörlő olyan funkciókat is tartalmaz, amelyek sokkal szélesebb célpontok ellen használhatók, mint az AcidRain.

Szélesebb pusztító képességek

„Az AcidPour kibővített romboló képességei közé tartozik a Linux Unsorted Block Image (UBI) és a Device Mapper (DM) logika, amely hatással van a kéziszámítógépekre, az IoT-re, a hálózatra vagy bizonyos esetekben az ICS-eszközökre” – mondja Tom Hegel, a SentinelOne vezető fenyegetéskutatója. „Az olyan eszközök, mint a tárolóhálózatok (SAN), a hálózathoz csatolt tárolók (NAS) és a dedikált RAID-tömbök szintén elérhetők az AcidPour hatásaihoz.”

Az AcidPour másik új képessége egy öntörlő funkció, amely törli a rosszindulatú programok minden nyomát az általa megfertőzött rendszerekről, mondja Hegel. Az AcidPour összességében egy viszonylag kifinomultabb ablaktörlő, mint az AcidRain, mondja, rámutatva az utóbbi túlzott elágazására és bizonyos műveletek indokolatlan megismétlésére, mint az általános hanyagságra.

A SentinelOne 2022 februárjában fedezte fel az AcidRaint egy kibertámadást követően mintegy 10,000 XNUMX műholdas modemet ütött offline állapotba a Viasat kommunikációs szolgáltató KA-SAT hálózatához kapcsolódik. A támadás Ukrajnában több ezer ügyfél, Európában több tízezer fogyasztó számára zavarta meg a szélessávú fogyasztói szolgáltatást. A SentinelOne arra a következtetésre jutott, hogy a rosszindulatú program valószínűleg a Sandworm-hoz (más néven APT 28, Fancy Bear és Sofacy) kapcsolatban álló csoport munkája volt, amely a számos bomlasztó kibertámadás Ukrajnában.

A SentinelOne kutatói először március 16-án észlelték az új változatot, az AcidPour-t, de még nem figyeltek meg senkit, aki tényleges támadásban használná.

Homokféreg nyakkendők

Az ablaktörlő kezdeti elemzése több hasonlóságot tárt fel az AcidRainnel – amit egy későbbi mélyebb merülés aztán megerősített. A SentinelOne által felfedezett figyelemre méltó átfedések magukban foglalták, hogy az AcidPour ugyanazt az újraindítási mechanizmust használja, mint az AcidRain, és ugyanaz a logika a rekurzív könyvtártörléshez.

A SentinelOne azt is megállapította, hogy az AcidPour IOCTL-alapú törlési mechanizmusa megegyezik az AcidRain és a VPNFilter törlési mechanizmusával. moduláris támadási platform hogy az Egyesült Államok Igazságügyi Minisztériuma rendelkezik Sandwormhoz kapcsolódik. Az IOCTL egy olyan mechanizmus, amellyel biztonságosan törölhetők vagy törölhetők adatok a tárolóeszközökről azáltal, hogy meghatározott parancsokat küldenek az eszközre.

„Az AcidPour egyik legérdekesebb aspektusa a kódolási stílusa, amely a pragmatikusra emlékeztet. CaddyWiper széles körben alkalmazzák az ukrán célpontok ellen olyan figyelemre méltó rosszindulatú programok mellett, mint Industroyer 2– mondta SentinelOne. Mind a CaddyWiper, mind az Industroyer 2 rosszindulatú program, amelyet Oroszország által támogatott állami csoportok használtak az ukrajnai szervezetek elleni pusztító támadásokhoz, még azelőtt, hogy Oroszország 2022 februárjában megtámadta volna az országot.

Az ukrán CERT elemezte az AcidPour-t, és az UAC-0165-höz, a Sandworm csoporthoz tartozó fenyegetést jelentő cselekvőnek tulajdonította, mondta a SentinelOne.

Az AcidPour és az AcidRain azon számos ablaktörlő közé tartozik, amelyeket az orosz szereplők bevetettek az ukrán célpontok ellen az elmúlt években – és különösen a két ország közötti jelenlegi háború kitörése után. Annak ellenére, hogy a fenyegetés szereplőjének több ezer modemet sikerült offline állapotba hoznia a Viasat-támadás során, a vállalat a kártevő eltávolítása után helyre tudta állítani és újratelepíteni őket.

Sok más esetben azonban a szervezetek kénytelenek voltak eldobni rendszereiket egy törlőtámadást követően. Az egyik legfigyelemreméltóbb példa a 2012 Shamoon ablaktörlő támadás a Saudi Aramco ellen, amely megbénította a vállalat mintegy 30,000 XNUMX rendszerét.

Ahogyan a Shamoon és az AcidRain esetében is történt, a fenyegetések szereplőinek általában nem kellett kifinomultabbá tenniük az ablaktörlőket, hogy hatékonyak legyenek. Ennek az az oka, hogy a kártevő egyetlen funkciója az adatok felülírása vagy törlése a rendszerekről, és használhatatlanná tétele. kitérő taktika és nincs szükség adatlopással és számítógépes kémtámadásokkal kapcsolatos homályosítási technikákra.

A törlők elleni legjobb védekezés – vagy az általuk okozott károk korlátozása – az, ha ugyanazt a védelmet alkalmazzák, mint a zsarolóvírusok esetében. Ez azt jelenti, hogy biztonsági másolatokat kell készíteni a kritikus adatokról, és megbízható incidensreagálási terveket és képességeket kell biztosítani.

A hálózati szegmentálás azért is kulcsfontosságú, mert az ablaktörlők hatékonyabbak, ha képesek átterjedni más rendszerekre is, így az ilyen típusú védelmi testhelyzet segít megakadályozni az oldalirányú mozgást.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware