שנה של התקפות מגבים באוקראינה

שנה של התקפות מגבים באוקראינה

חותמת זמן: 24 בפברואר 2023 5:30

ESET Research ערכה ציר זמן של התקפות סייבר שהשתמשו בתוכנה זדונית מגב והתרחשו מאז פלישת רוסיה לאוקראינה ב-2022

פוסט זה בבלוג מציג סקירה מלוקטת של התקפות המגבים המשבשות שצפינו באוקראינה מאז תחילת 2022, זמן קצר לפני שהחלה הפלישה הצבאית הרוסית. הצלחנו לייחס את רוב ההתקפות הללו סנדוורם, בדרגות שונות של ביטחון. האוסף כולל התקפות שנראו על ידי ESET, כמו גם כמה שדווחו על ידי מקורות מכובדים אחרים כמו CERT-UA, Microsoft ו-SentinelOne.

שנה של התקפות מגב באוקראינה PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

ESET Research Destructive malware shape= IsaacWiper and HermeticWizard: New wiper and worm shape= AcidRain | A Modem Wiper Rains Down on Europe IsaacWiper and HermeticWizard: New wiper and worm shape= An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine ESET Research CERT-UA An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine ESET APT ACTIVITY REPORT T2 2022 Industroyer2: Industroyer shape= CERT-UA ESET Research ESET Research ESET APT ACTIVITY REPORT T2 2022 ESET APT ACTIVITY REPORT T3 2022 ESET APT ACTIVITY REPORT T3 2022 ESET APT ACTIVITY REPORT T3 2022 New “Prestige” ransomware impacts organizations in Ukraine and Poland ESET APT ACTIVITY REPORT T3 2022 CERT-UA RansomBoggs: New ransomware shape= CERT-UA SwiftSlicer: New destructive wiper malware strikes Ukraine

הערה: תאריכים משוערים (~) משמשים כאשר התאריך המדויק של הפריסה אינו ודאי או לא ידוע. במקרים מסוימים, נעשה שימוש בתאריך הגילוי או (במקרה של תגליות שאינן ESET) בתאריך פרסום המתקפה.

טרום הפלישה

בין גלים רבים של התקפות DDoS שכוון למוסדות אוקראינים באותה עת, ה WhisperGate תוכנה זדונית התרחשה ב-14 בינוארth, 2022. המגב התחזה לתוכנת כופר, מהדהד את NotPetya מיוני 2017 - טקטיקה שתראה גם בהתקפות מאוחרות יותר.

ב- 23 בפברוארrd, 2022, קמפיין הרסני באמצעות HermeticWiper התמקד במאות מערכות בלפחות חמישה ארגונים אוקראינים. מגב הנתונים הזה זוהה לראשונה קצת לפני 17:00 שעון מקומי (15:00 UTC): מתקפת הסייבר קדמה, בכמה שעות בלבד, לפלישה לאוקראינה על ידי כוחות הפדרציה הרוסית. לצד HermeticWiper, נפרסו בקמפיין גם תולעת HermeticWizard ותוכנת כופר מזויפת של HermeticRansom.

פלישה וגל אביבי

ב- 24 בפברוארth, 2022, עם הפשרת החורף האוקראיני, החלה מתקפה הרסנית שנייה נגד רשת ממשלתית אוקראינית, באמצעות מגב שקראנו לו אייזק וויפר.

גם ביום הפלישה, ה גשם חומצי קמפיין מגבים ממוקד למודמים של Viasat KA-SAT, עם זליגה גם מחוץ לאוקראינה.

מגב נוסף, שנחשף בתחילה על ידי מיקרוסופט, הוא DesertBlade, על פי הדיווחים נפרס ב-1 במרץst, 2022 ושוב בסביבות ה-17 במרץth, 2022. אותו דו"ח מזכיר גם התקפות באמצעות מגבים מקמפיין Hermetic, כלומר HermeticWiper (מיקרוסופט קוראת לזה FoxBlade) בסביבות ה-10 במרץ 2022, HermeticRansom (מיקרוסופט קוראת לזה SonicVote) בסביבות ה-17 במרץth, 2022, והתקפה בסביבות ה-24 במרץth, 2022 באמצעות HermeticWiper וגם HermeticRansom.

CERT-UA דיווחה על גילויה של DoubleZero מגב ב-17 במרץth 2022.

במארס 14th, 2022, חוקרי ESET זיהו התקפה באמצעות CaddyWiper, שכוון לבנק אוקראיני.

ב- 1 באפרילst, 2022, זיהינו את CaddyWiper שוב, הפעם נטען על ידי ה ArguePatch loader, שהוא בדרך כלל קובץ בינארי שונה ולגיטימי המשמש לטעינת קוד מעטפת מקובץ חיצוני. זיהינו תרחיש דומה ב-16 במאי 2022, שבו ArguePatch לבש צורה של ESET בינארי שונה.

זיהינו גם את טנדם ArguePatch-CaddyWiper ב-8 באפרילth, 2022, אולי בהתקפות החול השאפתניות ביותר מאז תחילת הפלישה: הניסיון הלא מוצלח שלהם לשבש את זרימת החשמל באמצעות Industroyer2. בנוסף ל-ArguePatch ו-CaddyWiper, בתקרית הזו, גילינו גם מגבים לפלטפורמות שאינן Windows: ORCSHRED, SOLOSHRED ו-AWFULSHRED. לפרטים, ראה את הודעה על ידי CERT-UA, ושלנו פוסט בבלוג של WeLiveSecurity.

קיץ שקט יותר

בחודשי הקיץ נרשמו פחות גילויים של קמפיינים חדשים למגבים באוקראינה בהשוואה לחודשים הקודמים, ובכל זאת התרחשו כמה התקפות בולטות.

עבדנו יחד עם CERT-UA על מקרים של פריסות ArguePatch (ו-CaddyWiper) נגד מוסדות אוקראינים. התקרית הראשונה התרחשה בשבוע שמתחיל ב-20 ביוניth, 2022, ועוד אחד ב-23 ביוניrd 2022.

גל סתיו

עם ירידה בטמפרטורות לקראת החורף הצפוני, ב-3 באוקטוברrd, 2022 זיהינו גרסה חדשה של CaddyWiper שנפרסה באוקראינה. שלא כמו הגרסאות שהיו בשימוש בעבר, הפעם CaddyWiper הורכב כקובץ בינארי של x64 של Windows.

על 5 אוקטוברth, 2022, זיהינו גרסה חדשה של HermeticWiper שהועלתה ל-VirusTotal. הפונקציונליות של מדגם HermeticWiper זה היה זהה למקרים הקודמים, עם כמה שינויים קלים.

על 11 אוקטוברth, 2022, זיהינו פריסת תוכנת כופר Prestige נגד חברות לוגיסטיקה באוקראינה ובפולין. גם הקמפיין הזה היה דווח על ידי מיקרוסופט.

באותו יום זיהינו גם מגב שלא היה ידוע בעבר, שקראנו לו NikoWiper. מגב זה שימש נגד חברה מתחום האנרגיה באוקראינה. NikoWiper מבוסס על מחק שירות שורת הפקודה של מיקרוסופט למחיקת קבצים בצורה מאובטחת.

בנובמבר 11th, 2022, CERT-UA פרסם פוסט בבלוג על התקפה באמצעות תוכנת הכופר המדומה של Somia.

בנובמבר 21st, 2022, זיהינו באוקראינה תוכנות כופר חדשות שנכתבו ב-.NET שקראנו לה RansomBoggs. לתוכנת הכופר יש הפניות מרובות לסרט Monsters, Inc. ראינו שמפעילי תוכנות זדוניות השתמשו בסקריפטים של POWERGAP כדי לפרוס קודן קבצים זה.

ינואר 2023

בשנת 2023 נמשכות ההתקפות המשבשות נגד מוסדות אוקראינים.

בינואר 1st, 2023, זיהינו ביצוע של מחק כלי שירות אצל משווק תוכנה אוקראיני.

מתקפה נוספת באמצעות מגבים מרובים, הפעם נגד סוכנות ידיעות אוקראינית, התרחשה ב-17 בינוארth, 2023, לפי CERT-UA. במתקפה זו זוהו המגבים הבאים: CaddyWiper, ZeroWipe, SDelete, AwfulShred ו-BidSwipe. BidSwipe ראוי לציון, מכיוון שהוא מגב מערכת הפעלה FreeBSD.

בינואר 25th, 2023, זיהינו מגב חדש, שנכתב ב-Go ושקראנו לו SwiftSlicer, מוצב נגד רשויות השלטון המקומי באוקראינה.

כמעט בכל המקרים שהוזכרו לעיל, Sandworm השתמשה במדיניות קבוצתית של Active Directory (T1484.001) כדי לפרוס את המגבים ותוכנות הכופר שלה, במיוחד באמצעות סקריפט POWERGAP.

סיכום

השימוש במגבים משבשים - ואפילו במגבים המתחזה לתוכנת כופר - על ידי קבוצות APT רוסיות, במיוחד Sandworm, נגד ארגונים אוקראינים אינו חדש כמעט. מאז 2014, BlackEnergy השתמשה בתוספים משבשים; מגב KillDisk היה מכנה משותף בהתקפות של תולעי חול בעבר; ותת-קבוצת ה-Telebots השיקה מתקפות מגבים רבות, בעיקר NotPetya.

עם זאת, ההתעצמות של מסעות המגבים מאז הפלישה הצבאית בפברואר 2022 הייתה חסרת תקדים. בנימה חיובית, רבים מהתקיפות זוהו וסוכלו. עם זאת, אנו ממשיכים לעקוב אחר המצב בדריכות, מכיוון שאנו מצפים שההתקפות יימשכו.

לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.

ESET Research מציעה גם דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד 

IoCs

קבצים

SHA-1 שם הקובץ שם זיהוי ESET תיאור
189166D382C73C242BA45889D57980548D4BA37E stage1.exe Win32/KillMBR.NGI WhisperGate שלב 1 MBR overwriter.
A67205DC84EC29EB71BB259B19C1A1783865C0FC N / A Win32/KillFiles.NKU מטען סופי של WhisperGate שלב 2.
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 com.exe Win32/KillDisk.NCV HermeticWiper.
61B25D11392172E587D8DA3045812A66C3385451 conhosts.exe Win32/KillDisk.NCV HermeticWiper.
F32D791EC9E6385A91B45942C230F52AFF1626DF cc2.exe WinGo/Filecoder.BK HermeticRansom.
86906B140B019FDEDAABA73948D0C8F96A6B1B42 אוקרופ Linux/AcidRain.A גשם חומצי.
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 cl64.dll Win32/KillMBR.NHP אייזק וויפר.
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 cld.dll Win32/KillMBR.NHQ אייזק וויפר.
E9B96E9B86FAD28D950CA428879168E0894D854F clean.exe Win32/KillMBR.NHP אייזק וויפר.
5C01947A49280CE98FB39D0B72311B47C47BC5CC clean.exe Win32/KillMBR.NHP אייזק וויפר.
59F5B9AECE751E58BE16E7F7A7A6D8C044F583BE cll.exe Win32/KillMBR.NHQ אייזק וויפר.
172FBE91867C1D6B7F3E2899CEA69113BB1F21A0 notes.exe WinGo/KillFiles.A מגב DesertBlade.
46671348C1A61B3A8BFBA025E64E5549B7FDFA98 N / A Win32/KillDisk.NCV HermeticWiper.
DB0DA0D92D90657EA91C02336E0605E96DB92C05 clrs.exe Win32/KillDisk.NCV HermeticWiper.
98B3FB74B3E8B3F9B05A82473551C5A77B576D54 caddy.exe Win32/KillDisk.NCX CaddyWiper.
320116162D78AFB8E00FD972591479A899D3DFEE cpcrs.exe MSIL/KillFiles.CK מגב DoubleZero.
43B3D5FFAE55116C68C504339C5D953CA25C0E3F Csrss.exe MSIL/KillFiles.CK מגב DoubleZero.
48F54A1D93C912ADF36C79BB56018DEFF190A35C ukcphone.exe Win32/Agent.AECG מטעין קוד מעטפת של ArguePatch.
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 peremoga.exe Win32/Agent.AECG מטעין קוד מעטפת של ArguePatch.
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 pa1.pay Win32/KillDisk.NDA קוד מעטפת CaddyWiper מוצפן.
3CDBC19BC4F12D8D00B81380F7A2504D08074C15 wobf.sh Linux/KillFiles.C AwfulShred Linux מגב.
8FC7646FA14667D07E3110FE754F61A78CFDE6BC wsol.sh Linux/KillFiles.B מגבון SoloShred Solaris.
796362BD0304E305AD120576B6A8FB6721108752 eset_ssl_filtered_cert_importer.exe Win32/Agent.AEGY מטעין קוד מעטפת של ArguePatch.
8F3830CB2B93C21818FDBFCF526A027601277F9B spn.exe Win32/Agent.AEKA מטעין קוד מעטפת של ArguePatch.
3D5C2E1B792F690FBCF05441DF179A3A48888618 mslrss.exe Win32/Agent.AEKA מטעין קוד מעטפת של ArguePatch.
EB437FF79E639742EE36E89F30C6A21072B86CBC caclcly.exe Win64/Agent.BQZ CaddyWiper x64.
57E3D0108636F6EE56C801F128306AD43AF60EE6 cmrss.exe Win32/KillDisk.NCV HermeticWiper.
986BA7A5714AD5B0DE0D040D1C066389BCB81A67 open.exe Win32/Filecoder.Prestige.A קודן קבצים יוקרתי.
C7186DEF5E9C3E1B01BF506F538F5D6185377A9C sysate32.exe Win32/Filecoder.Prestige.A קודן קבצים יוקרתי.
59621F5EFC311FDFE66683266CE9CB17F8227B23 mstc_niko.exe Win32/DelAll.NAH NikoWiper.
84E6A010B372D845C723A8B8D7DDD8D79675DCE5 Sullivan.1.v2.0.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
F4D1C047923B9D10031BB709AABF1A250AB0AAA2 Sullivan.1.v4.5.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
9A3D63C6E127243B3036BC0E242789EC1D2AB171 Sullivan.2.v2.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
BB187EB125070176BD7EC6C57CFF166708DD60E1 Sullivan.2.v4.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
3D593A39FA20FED851B9BEFB4FF2D391B43BDF08 Sullivan.v2.5.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
021308C361C8DE7C38EF135BC3B53439EB4DA0B4 Sullivan.v4.5.exe MSIL/Filecoder.RansomBoggs.A קודן הקבצים של RansomBoggs.
7346E2E29FADDD63AE5C610C07ACAB46B2B1B176 help.exe WinGo/KillFiles.C מגב SwiftSlicer.

בול זמן:

עוד מ אנחנו חיים אבטחה