Rosyjski APT udostępnia bardziej śmiercionośną odmianę złośliwego oprogramowania AcidRain Wiper

Badacze odkryli bardziej niebezpieczną i płodną wersję złośliwego oprogramowania usuwającego dane, wykorzystywanego przez rosyjski wywiad wojskowy do zakłócania satelitarnych usług szerokopasmowych na Ukrainie tuż przed inwazją Rosji na ten kraj w lutym 2022 r.

Nowy wariant „Kwas Wlać,” wykazuje wiele podobieństw do swojego poprzednika, ale jest skompilowany dla architektury X86, w przeciwieństwie do AcidRain, który był ukierunkowany na systemy oparte na MIPS. Według badaczy z SentinelOne, którzy odkryli zagrożenie, nowa wycieraczka zawiera również funkcje umożliwiające jej wykorzystanie przeciwko znacznie szerszemu zakresowi celów niż AcidRain.

Szersze możliwości destrukcyjne

„Rozszerzone możliwości destrukcyjne AcidPour obejmują logikę Unsorted Block Image (UBI) systemu Linux i logikę Device Mapper (DM), która wpływa na urządzenia kieszonkowe, IoT, sieci lub, w niektórych przypadkach, urządzenia ICS” – mówi Tom Hegel, starszy badacz zagrożeń w SentinelOne. „Urządzenia takie jak sieci pamięci masowej (SAN), sieciowe pamięci masowe (NAS) i dedykowane macierze RAID również znajdują się obecnie w zasięgu działania AcidPour”.

Kolejną nową funkcją AcidPour jest funkcja automatycznego usuwania, która usuwa wszelkie ślady złośliwego oprogramowania z systemów, które infekuje, mówi Hegel. AcidPour jest ogólnie stosunkowo bardziej wyrafinowanym wycieraczką niż AcidRain, twierdzi, wskazując na nadmierne stosowanie rozwidlania procesów i nieuzasadnione powtarzanie pewnych operacji jako przykłady jego ogólnego niechlujstwa.

SentinelOne odkrył AcidRain w lutym 2022 r. po cyberataku wyłączyło około 10,000 XNUMX modemów satelitarnych powiązany z siecią KA-SAT dostawcy usług komunikacyjnych Viasat. Atak zakłócił konsumenckie usługi szerokopasmowe dla tysięcy klientów na Ukrainie i dziesiątek tysięcy ludzi w Europie. SentinelOne stwierdził, że szkodliwe oprogramowanie było prawdopodobnie dziełem grupy powiązanej z Sandworm (znanym również jako APT 28, Fancy Bear i Sofacy), rosyjską operacją odpowiedzialną za liczne destrukcyjne cyberataki na Ukrainie.

Badacze SentinelOne po raz pierwszy zauważyli nowy wariant, AcidPour, 16 marca, ale nie zaobserwowali jeszcze, aby ktokolwiek używał go w rzeczywistym ataku.

Krawaty Sandworma

Wstępna analiza wycieraczki ujawniła wiele podobieństw do AcidRain, co potwierdziło późniejsze głębsze nurkowanie. Godne uwagi nakładanie się programów, które odkrył SentinelOne, obejmowało użycie przez AcidPour tego samego mechanizmu ponownego uruchamiania co AcidRain i identyczną logikę rekurencyjnego czyszczenia katalogów.

SentinelOne stwierdził również, że mechanizm wycierania oparty na IOCTL w AcidPour jest taki sam, jak mechanizm wycierania w AcidRain i VPNFilter, modułowa platforma ataku którymi dysponuje Departament Sprawiedliwości USA powiązany z Sandwormem. IOCTL to mechanizm bezpiecznego usuwania lub czyszczenia danych z urządzeń pamięci masowej poprzez wysyłanie określonych poleceń do urządzenia.

„Jednym z najciekawszych aspektów AcidPour jest styl kodowania, przypominający pragmatyzm CaddyWycieraczka szeroko wykorzystywane przeciwko celom ukraińskim wraz ze znanym złośliwym oprogramowaniem, takim jak Przemysłowiec 2”- powiedział SentinelOne. Zarówno CaddyWiper, jak i Industroyer 2 to złośliwe oprogramowanie wykorzystywane przez wspierane przez Rosję grupy państwowe w niszczycielskich atakach na organizacje na Ukrainie jeszcze przed inwazją Rosji na ten kraj w lutym 2022 roku.

Ukraiński CERT przeanalizował AcidPour i przypisał go UAC-0165, ugrupowaniu zagrażającemu należącemu do grupy Sandworm, powiedział SentinelOne.

AcidPour i AcidRain to jedne z licznych wycieraczek, które rosyjscy aktorzy zastosowali przeciwko ukraińskim celom w ostatnich latach, a szczególnie po rozpoczęciu obecnej wojny między obydwoma krajami. Mimo że w wyniku ataku Viasat cyberprzestępcy zdołali wyłączyć tysiące modemów, firmie udało się je odzyskać i ponownie wdrożyć po usunięciu złośliwego oprogramowania.

Jednak w wielu innych przypadkach organizacje były zmuszone porzucić systemy po ataku wycieraczek. Jednym z najbardziej godnych uwagi przykładów jest rok 2012 Szamun atak wycieraczek na Saudi Aramco, w wyniku którego uszkodzono około 30,000 XNUMX systemów w firmie.

Podobnie jak w przypadku Shamoon i AcidRain, cyberprzestępcy zazwyczaj nie musieli tworzyć wyrafinowanych wycieraczek, aby były skuteczne. Dzieje się tak dlatego, że jedyną funkcją szkodliwego oprogramowania jest nadpisywanie lub usuwanie danych z systemów i czynienie ich bezużytecznymi, tzw taktyka unikania a techniki zaciemniania związane z kradzieżą danych i atakami cyberszpiegowskimi nie są konieczne.

Najlepszą obroną wycieraczek — lub ograniczeniem ich szkód — jest wdrożenie tego samego rodzaju zabezpieczeń, co w przypadku oprogramowania ransomware. Oznacza to posiadanie kopii zapasowych krytycznych danych oraz zapewnienie solidnych planów i możliwości reagowania na incydenty.

Segmentacja sieci jest również kluczowa, ponieważ wycieraczki są bardziej skuteczne, gdy mogą rozprzestrzeniać się na inne systemy, zatem taka postawa obronna pomaga udaremnić ruchy boczne.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware