ESET Research ערכה ציר זמן של התקפות סייבר שהשתמשו בתוכנה זדונית מגב והתרחשו מאז פלישת רוסיה לאוקראינה ב-2022
פוסט זה בבלוג מציג סקירה מלוקטת של התקפות המגבים המשבשות שצפינו באוקראינה מאז תחילת 2022, זמן קצר לפני שהחלה הפלישה הצבאית הרוסית. הצלחנו לייחס את רוב ההתקפות הללו סנדוורם, בדרגות שונות של ביטחון. האוסף כולל התקפות שנראו על ידי ESET, כמו גם כמה שדווחו על ידי מקורות מכובדים אחרים כמו CERT-UA, Microsoft ו-SentinelOne.
הערה: תאריכים משוערים (~) משמשים כאשר התאריך המדויק של הפריסה אינו ודאי או לא ידוע. במקרים מסוימים, נעשה שימוש בתאריך הגילוי או (במקרה של תגליות שאינן ESET) בתאריך פרסום המתקפה.
טרום הפלישה
בין גלים רבים של התקפות DDoS שכוון למוסדות אוקראינים באותה עת, ה WhisperGate תוכנה זדונית התרחשה ב-14 בינוארth, 2022. המגב התחזה לתוכנת כופר, מהדהד את NotPetya מיוני 2017 - טקטיקה שתראה גם בהתקפות מאוחרות יותר.
ב- 23 בפברוארrd, 2022, קמפיין הרסני באמצעות HermeticWiper התמקד במאות מערכות בלפחות חמישה ארגונים אוקראינים. מגב הנתונים הזה זוהה לראשונה קצת לפני 17:00 שעון מקומי (15:00 UTC): מתקפת הסייבר קדמה, בכמה שעות בלבד, לפלישה לאוקראינה על ידי כוחות הפדרציה הרוסית. לצד HermeticWiper, נפרסו בקמפיין גם תולעת HermeticWizard ותוכנת כופר מזויפת של HermeticRansom.
פלישה וגל אביבי
ב- 24 בפברוארth, 2022, עם הפשרת החורף האוקראיני, החלה מתקפה הרסנית שנייה נגד רשת ממשלתית אוקראינית, באמצעות מגב שקראנו לו אייזק וויפר.
גם ביום הפלישה, ה גשם חומצי קמפיין מגבים ממוקד למודמים של Viasat KA-SAT, עם זליגה גם מחוץ לאוקראינה.
מגב נוסף, שנחשף בתחילה על ידי מיקרוסופט, הוא DesertBlade, על פי הדיווחים נפרס ב-1 במרץst, 2022 ושוב בסביבות ה-17 במרץth, 2022. אותו דו"ח מזכיר גם התקפות באמצעות מגבים מקמפיין Hermetic, כלומר HermeticWiper (מיקרוסופט קוראת לזה FoxBlade) בסביבות ה-10 במרץ 2022, HermeticRansom (מיקרוסופט קוראת לזה SonicVote) בסביבות ה-17 במרץth, 2022, והתקפה בסביבות ה-24 במרץth, 2022 באמצעות HermeticWiper וגם HermeticRansom.
CERT-UA דיווחה על גילויה של DoubleZero מגב ב-17 במרץth 2022.
במארס 14th, 2022, חוקרי ESET זיהו התקפה באמצעות CaddyWiper, שכוון לבנק אוקראיני.
ב- 1 באפרילst, 2022, זיהינו את CaddyWiper שוב, הפעם נטען על ידי ה ArguePatch loader, שהוא בדרך כלל קובץ בינארי שונה ולגיטימי המשמש לטעינת קוד מעטפת מקובץ חיצוני. זיהינו תרחיש דומה ב-16 במאי 2022, שבו ArguePatch לבש צורה של ESET בינארי שונה.
זיהינו גם את טנדם ArguePatch-CaddyWiper ב-8 באפרילth, 2022, אולי בהתקפות החול השאפתניות ביותר מאז תחילת הפלישה: הניסיון הלא מוצלח שלהם לשבש את זרימת החשמל באמצעות Industroyer2. בנוסף ל-ArguePatch ו-CaddyWiper, בתקרית הזו, גילינו גם מגבים לפלטפורמות שאינן Windows: ORCSHRED, SOLOSHRED ו-AWFULSHRED. לפרטים, ראה את הודעה על ידי CERT-UA, ושלנו פוסט בבלוג של WeLiveSecurity.
קיץ שקט יותר
בחודשי הקיץ נרשמו פחות גילויים של קמפיינים חדשים למגבים באוקראינה בהשוואה לחודשים הקודמים, ובכל זאת התרחשו כמה התקפות בולטות.
עבדנו יחד עם CERT-UA על מקרים של פריסות ArguePatch (ו-CaddyWiper) נגד מוסדות אוקראינים. התקרית הראשונה התרחשה בשבוע שמתחיל ב-20 ביוניth, 2022, ועוד אחד ב-23 ביוניrd 2022.
גל סתיו
עם ירידה בטמפרטורות לקראת החורף הצפוני, ב-3 באוקטוברrd, 2022 זיהינו גרסה חדשה של CaddyWiper שנפרסה באוקראינה. שלא כמו הגרסאות שהיו בשימוש בעבר, הפעם CaddyWiper הורכב כקובץ בינארי של x64 של Windows.
על 5 אוקטוברth, 2022, זיהינו גרסה חדשה של HermeticWiper שהועלתה ל-VirusTotal. הפונקציונליות של מדגם HermeticWiper זה היה זהה למקרים הקודמים, עם כמה שינויים קלים.
על 11 אוקטוברth, 2022, זיהינו פריסת תוכנת כופר Prestige נגד חברות לוגיסטיקה באוקראינה ובפולין. גם הקמפיין הזה היה דווח על ידי מיקרוסופט.
באותו יום זיהינו גם מגב שלא היה ידוע בעבר, שקראנו לו NikoWiper. מגב זה שימש נגד חברה מתחום האנרגיה באוקראינה. NikoWiper מבוסס על מחק שירות שורת הפקודה של מיקרוסופט למחיקת קבצים בצורה מאובטחת.
בנובמבר 11th, 2022, CERT-UA פרסם פוסט בבלוג על התקפה באמצעות תוכנת הכופר המדומה של Somia.
בנובמבר 21st, 2022, זיהינו באוקראינה תוכנות כופר חדשות שנכתבו ב-.NET שקראנו לה RansomBoggs. לתוכנת הכופר יש הפניות מרובות לסרט Monsters, Inc. ראינו שמפעילי תוכנות זדוניות השתמשו בסקריפטים של POWERGAP כדי לפרוס קודן קבצים זה.
ינואר 2023
בשנת 2023 נמשכות ההתקפות המשבשות נגד מוסדות אוקראינים.
בינואר 1st, 2023, זיהינו ביצוע של מחק כלי שירות אצל משווק תוכנה אוקראיני.
מתקפה נוספת באמצעות מגבים מרובים, הפעם נגד סוכנות ידיעות אוקראינית, התרחשה ב-17 בינוארth, 2023, לפי CERT-UA. במתקפה זו זוהו המגבים הבאים: CaddyWiper, ZeroWipe, SDelete, AwfulShred ו-BidSwipe. BidSwipe ראוי לציון, מכיוון שהוא מגב מערכת הפעלה FreeBSD.
בינואר 25th, 2023, זיהינו מגב חדש, שנכתב ב-Go ושקראנו לו SwiftSlicer, מוצב נגד רשויות השלטון המקומי באוקראינה.
כמעט בכל המקרים שהוזכרו לעיל, Sandworm השתמשה במדיניות קבוצתית של Active Directory (T1484.001) כדי לפרוס את המגבים ותוכנות הכופר שלה, במיוחד באמצעות סקריפט POWERGAP.
סיכום
השימוש במגבים משבשים - ואפילו במגבים המתחזה לתוכנת כופר - על ידי קבוצות APT רוסיות, במיוחד Sandworm, נגד ארגונים אוקראינים אינו חדש כמעט. מאז 2014, BlackEnergy השתמשה בתוספים משבשים; מגב KillDisk היה מכנה משותף בהתקפות של תולעי חול בעבר; ותת-קבוצת ה-Telebots השיקה מתקפות מגבים רבות, בעיקר NotPetya.
עם זאת, ההתעצמות של מסעות המגבים מאז הפלישה הצבאית בפברואר 2022 הייתה חסרת תקדים. בנימה חיובית, רבים מהתקיפות זוהו וסוכלו. עם זאת, אנו ממשיכים לעקוב אחר המצב בדריכות, מכיוון שאנו מצפים שההתקפות יימשכו.
ESET Research מציעה גם דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד
IoCs
קבצים
SHA-1 | שם הקובץ | שם זיהוי ESET | תיאור |
---|---|---|---|
189166D382C73C242BA45889D57980548D4BA37E | stage1.exe | Win32/KillMBR.NGI | WhisperGate שלב 1 MBR overwriter. |
A67205DC84EC29EB71BB259B19C1A1783865C0FC | N / A | Win32/KillFiles.NKU | מטען סופי של WhisperGate שלב 2. |
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 | com.exe | Win32/KillDisk.NCV | HermeticWiper. |
61B25D11392172E587D8DA3045812A66C3385451 | conhosts.exe | Win32/KillDisk.NCV | HermeticWiper. |
F32D791EC9E6385A91B45942C230F52AFF1626DF | cc2.exe | WinGo/Filecoder.BK | HermeticRansom. |
86906B140B019FDEDAABA73948D0C8F96A6B1B42 | אוקרופ | Linux/AcidRain.A | גשם חומצי. |
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 | cl64.dll | Win32/KillMBR.NHP | אייזק וויפר. |
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 | cld.dll | Win32/KillMBR.NHQ | אייזק וויפר. |
E9B96E9B86FAD28D950CA428879168E0894D854F | clean.exe | Win32/KillMBR.NHP | אייזק וויפר. |
5C01947A49280CE98FB39D0B72311B47C47BC5CC | clean.exe | Win32/KillMBR.NHP | אייזק וויפר. |
59F5B9AECE751E58BE16E7F7A7A6D8C044F583BE | cll.exe | Win32/KillMBR.NHQ | אייזק וויפר. |
172FBE91867C1D6B7F3E2899CEA69113BB1F21A0 | notes.exe | WinGo/KillFiles.A | מגב DesertBlade. |
46671348C1A61B3A8BFBA025E64E5549B7FDFA98 | N / A | Win32/KillDisk.NCV | HermeticWiper. |
DB0DA0D92D90657EA91C02336E0605E96DB92C05 | clrs.exe | Win32/KillDisk.NCV | HermeticWiper. |
98B3FB74B3E8B3F9B05A82473551C5A77B576D54 | caddy.exe | Win32/KillDisk.NCX | CaddyWiper. |
320116162D78AFB8E00FD972591479A899D3DFEE | cpcrs.exe | MSIL/KillFiles.CK | מגב DoubleZero. |
43B3D5FFAE55116C68C504339C5D953CA25C0E3F | Csrss.exe | MSIL/KillFiles.CK | מגב DoubleZero. |
48F54A1D93C912ADF36C79BB56018DEFF190A35C | ukcphone.exe | Win32/Agent.AECG | מטעין קוד מעטפת של ArguePatch. |
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 | peremoga.exe | Win32/Agent.AECG | מטעין קוד מעטפת של ArguePatch. |
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 | pa1.pay | Win32/KillDisk.NDA | קוד מעטפת CaddyWiper מוצפן. |
3CDBC19BC4F12D8D00B81380F7A2504D08074C15 | wobf.sh | Linux/KillFiles.C | AwfulShred Linux מגב. |
8FC7646FA14667D07E3110FE754F61A78CFDE6BC | wsol.sh | Linux/KillFiles.B | מגבון SoloShred Solaris. |
796362BD0304E305AD120576B6A8FB6721108752 | eset_ssl_filtered_cert_importer.exe | Win32/Agent.AEGY | מטעין קוד מעטפת של ArguePatch. |
8F3830CB2B93C21818FDBFCF526A027601277F9B | spn.exe | Win32/Agent.AEKA | מטעין קוד מעטפת של ArguePatch. |
3D5C2E1B792F690FBCF05441DF179A3A48888618 | mslrss.exe | Win32/Agent.AEKA | מטעין קוד מעטפת של ArguePatch. |
EB437FF79E639742EE36E89F30C6A21072B86CBC | caclcly.exe | Win64/Agent.BQZ | CaddyWiper x64. |
57E3D0108636F6EE56C801F128306AD43AF60EE6 | cmrss.exe | Win32/KillDisk.NCV | HermeticWiper. |
986BA7A5714AD5B0DE0D040D1C066389BCB81A67 | open.exe | Win32/Filecoder.Prestige.A | קודן קבצים יוקרתי. |
C7186DEF5E9C3E1B01BF506F538F5D6185377A9C | sysate32.exe | Win32/Filecoder.Prestige.A | קודן קבצים יוקרתי. |
59621F5EFC311FDFE66683266CE9CB17F8227B23 | mstc_niko.exe | Win32/DelAll.NAH | NikoWiper. |
84E6A010B372D845C723A8B8D7DDD8D79675DCE5 | Sullivan.1.v2.0.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
F4D1C047923B9D10031BB709AABF1A250AB0AAA2 | Sullivan.1.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
9A3D63C6E127243B3036BC0E242789EC1D2AB171 | Sullivan.2.v2.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
BB187EB125070176BD7EC6C57CFF166708DD60E1 | Sullivan.2.v4.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
3D593A39FA20FED851B9BEFB4FF2D391B43BDF08 | Sullivan.v2.5.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
021308C361C8DE7C38EF135BC3B53439EB4DA0B4 | Sullivan.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | קודן הקבצים של RansomBoggs. |
7346E2E29FADDD63AE5C610C07ACAB46B2B1B176 | help.exe | WinGo/KillFiles.C | מגב SwiftSlicer. |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/
- 1
- 2014
- 2017
- 2021
- 2022
- 2023
- 9
- a
- יכול
- אודות
- פעיל
- פעילות
- תוספת
- נגד
- סוכנות
- תעשיות
- בַּצַד
- שאפתן
- ו
- אחר
- אַפּרִיל
- APT
- סביב
- לתקוף
- המתקפות
- בנק
- מבוסס
- לפני
- ההתחלה
- להיות
- שיחות
- מבצע
- קמפיינים
- מקרה
- מקרים
- שינויים
- CMS
- COM
- Common
- חברות
- חברה
- לעומת
- אמון
- צור קשר
- להמשיך
- התקפת סייבר
- התקפות רשת
- נתונים
- תַאֲרִיך
- תאריכים
- יְוֹם
- לפרוס
- פרס
- פריסה
- פריסות
- פרטים
- זוהה
- איתור
- DID
- גילה
- תגלית
- לשבש
- מְשַׁבֵּשׁ
- מטה
- נשמט
- חשמל
- אנרגיה
- ישויות
- מחקר ESET
- במיוחד
- אירופה
- אֲפִילוּ
- הוצאת להורג
- לצפות
- חיצוני
- פבואר
- פֵדֵרַצִיָה
- מעטים
- שלח
- קבצים
- סופי
- ראשון
- תזרים
- הבא
- כוחות
- טופס
- בחינם
- החל מ-
- פונקציונלי
- Go
- ממשלה
- ממשלתי
- קְבוּצָה
- קבוצה
- שעות
- אולם
- HTTPS
- מאות
- מזוהה
- השפעות
- in
- בע"מ
- תקרית
- כולל
- בהתחלה
- מוסדות
- מוֹדִיעִין
- פלישה
- IT
- יָנוּאָר
- הושק
- קו
- לינוקס
- לִטעוֹן
- מטעין
- מקומי
- ממשלה מקומית
- לוגיסטיקה
- הרוב
- תוכנות זדוניות
- רב
- צעדה
- אזכורים
- מיקרוסופט
- צבאי
- קטין
- שונים
- צג
- חודשים
- רוב
- סרט
- מספר
- שם
- כלומר
- נטו
- רשת
- חדש
- חדשות
- יַקִיר
- ראוי לציון
- נוֹבֶמבֶּר
- רב
- התרחשה
- אוֹקְטוֹבֶּר
- המיוחדות שלנו
- מפעילי
- ארגונים
- OS
- אחר
- בחוץ
- סקירה
- עבר
- אוּלַי
- מקום
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- תוספים
- פולין
- מדיניות
- חיובי
- מתנות
- יוקרה
- קודם
- קוֹדֶם
- פְּרָטִי
- פרסום
- לאור
- ransomware
- אזכור
- לדווח
- דווח
- דוחות לדוגמא
- מכובד
- מחקר
- חוקרים
- rt
- רוסי
- הפדרציה הרוסית
- אותו
- תרחיש
- סקריפטים
- שְׁנִיָה
- מגזר
- מאובטח
- שרות
- כמה
- בקצרה
- דומה
- since
- מצב
- תוכנה
- Solaris
- כמה
- מקורות
- במיוחד
- אביב
- התמחות
- החל
- החל
- שביתות
- קיץ
- מערכות
- זה אחר זה
- ממוקד
- מיקוד
- השמיים
- שֶׁלָהֶם
- איום
- זמן
- ציר זמן
- ל
- יַחַד
- בדרך כלל
- אוקראינה
- אוקראיני
- לֹא בָּטוּחַ
- חסר תקדים
- נטען
- us
- להשתמש
- UTC
- תועלת
- גרסה
- גלים
- שבוע
- אשר
- רָחָב
- חלונות
- חוֹרֶף
- עבד
- תולעת
- היה
- כתוב
- שנה
- זפירנט