Исследователи обнаружили более опасную и распространенную версию вредоносного ПО Wiper, которое использовалось российской военной разведкой для нарушения работы спутниковой широкополосной связи на Украине незадолго до российского вторжения в страну в феврале 2022 года.
Новый вариант, «КислотаPour,» имеет множество общих черт со своим предшественником, но скомпилирован для архитектуры X86, в отличие от AcidRain, предназначенного для систем на базе MIPS. По словам исследователей из SentinelOne, обнаруживших угрозу, новый Wiper также включает в себя функции, позволяющие его использовать против значительно более широкого круга целей, чем AcidRain.
Более широкие разрушительные возможности
«Расширенные разрушительные возможности AcidPour включают в себя логику Linux Unsorted Block Image (UBI) и Device Mapper (DM), которая влияет на портативные устройства, Интернет вещей, сети или, в некоторых случаях, на устройства ICS», — говорит Том Хегель, старший исследователь угроз в SentinelOne. «Такие устройства, как сети хранения данных (SAN), сетевые хранилища (NAS) и выделенные RAID-массивы, теперь также находятся в зоне действия AcidPour».
Еще одна новая возможность AcidPour — это функция самоудаления, которая стирает все следы вредоносного ПО из заражаемых им систем, говорит Хегель. По его словам, AcidPour в целом является относительно более сложной программой очистки, чем AcidRain, указывая на чрезмерное использование в последнем разветвлений процессов и необоснованное повторение определенных операций как на примеры его общей небрежности.
SentinelOne обнаружил AcidRain в феврале 2022 года после кибератаки, которая вывел из строя около 10,000 XNUMX спутниковых модемов связан с сетью KA-SAT провайдера связи Viasat. В результате атаки были нарушены услуги широкополосного доступа для тысяч клиентов в Украине и десятков тысяч людей в Европе. SentinelOne пришел к выводу, что вредоносное ПО, скорее всего, является работой группы, связанной с Sandworm (также известной как APT 28, Fancy Bear и Sofacy), российской организацией, ответственной за многочисленные разрушительные кибератаки в Украине.
Исследователи SentinelOne впервые заметили новый вариант AcidPour 16 марта, но пока не заметили, чтобы кто-то использовал его в реальной атаке.
Галстуки с песчаными червями
Их первоначальный анализ стеклоочистителя выявил множество сходств с AcidRain, что затем подтвердилось при последующем более глубоком погружении. Заметные совпадения, обнаруженные SentinelOne, включали использование AcidPour того же механизма перезагрузки, что и AcidRain, и идентичную логику для рекурсивной очистки каталогов.
SentinelOne также обнаружил, что механизм очистки AcidPour на основе IOCTL аналогичен механизму очистки в AcidRain и VPNFilter, модульная атакующая платформа что Министерство юстиции США имеет связан с песчаным червем. IOCTL — это механизм безопасного стирания или удаления данных с устройств хранения путем отправки на устройство определенных команд.
«Одним из самых интересных аспектов AcidPour является его стиль кодирования, напоминающий прагматичный подход. КэддиВайпер широко используется против украинских целей наряду с такими известными вредоносными программами, как Индустройер 2— сказал SentinelOne. И CaddyWiper, и Industroyer 2 — это вредоносные программы, используемые поддерживаемыми Россией государственными группами в деструктивных атаках на организации в Украине еще до вторжения России в страну в феврале 2022 года.
Украинский CERT проанализировал AcidPour и приписал UAC-0165, злоумышленнику, входящему в группу Sandworm, сообщает SentinelOne.
AcidPour и AcidRain входят в число многочисленных «дворников», которые российские субъекты использовали против украинских целей в последние годы, особенно после начала нынешней войны между двумя странами. Несмотря на то, что злоумышленнику удалось вывести из строя тысячи модемов в результате атаки Viasat, компания смогла восстановить и повторно развернуть их после удаления вредоносного ПО.
Однако во многих других случаях организации были вынуждены отказаться от систем после атаки с использованием вайперов. Одним из наиболее ярких примеров является 2012 г. Shamoon атака Wiper на Saudi Aramco, в результате которой было повреждено около 30,000 XNUMX систем компании.
Как и в случае с Shamoon и AcidRain, злоумышленникам обычно не нужно усложнять дворники, чтобы они были эффективными. Это связано с тем, что единственная функция вредоносного ПО — перезаписывать или удалять данные из систем и делать их бесполезными. тактика уклонения и методы запутывания, связанные с кражей данных и атаками кибершпионажа, не нужны.
Лучшая защита от вайперов (или ограничение ущерба от них) — это реализация того же типа защиты, что и от программ-вымогателей. Это означает наличие резервных копий критически важных данных и обеспечение надежных планов и возможностей реагирования на инциденты.
Сегментация сети также имеет ключевое значение, поскольку вайперы более эффективны, когда они могут распространяться на другие системы, поэтому такой тип защитной позиции помогает предотвратить боковое перемещение.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :имеет
- :является
- :нет
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- в состоянии
- По
- актеры
- фактического соединения
- После
- против
- ака
- Все
- рядом
- причислены
- среди
- an
- анализ
- проанализированы
- и
- кто угодно
- APT
- архитектура
- МЫ
- ПЛОЩАДЬ
- AS
- аспекты
- связанный
- At
- атаковать
- нападки
- Операции резервного копирования
- BE
- медведь
- Медведи
- , так как:
- было
- до
- ЛУЧШЕЕ
- между
- Заблокировать
- изоферменты печени
- широкополосный
- шире
- широко
- но
- by
- возможности
- возможности
- случаев
- случаев
- определенный
- Кодирование
- Связь
- Компания
- скомпилированный
- в заключении исследования, финансируемого Центрами по контролю и профилактике заболеваний (CDC) и написанного бывшим начальником полиции Вермонта
- ПОДТВЕРЖДЕНО
- потребитель
- страны
- страна
- критической
- Текущий
- Клиенты
- кибер-
- Кибератака
- повреждение
- опасно
- данным
- преданный
- более глубокий
- Защита
- оборонительные сооружения
- Кафедра
- Департамент правосудия
- развернуть
- устройство
- Устройства
- открытый
- срывать
- нарушена
- подрывной
- погружение
- DM
- Эффективный
- эффекты
- обеспечение
- шпионаж
- Европе
- Даже
- Примеры
- чрезмерный
- расширенный
- причудливый
- Особенности
- февраль
- Во-первых,
- после
- Что касается
- принудительный
- найденный
- от
- функция
- группы
- Группы
- Есть
- имеющий
- he
- помогает
- HTTPS
- идентичный
- изображение
- Воздействие
- осуществлять
- in
- инцидент
- реакция на инцидент
- включают
- включены
- включает в себя
- начальный
- Интеллекта
- интересный
- вторжение
- КАТО
- IT
- ЕГО
- JPEG
- всего
- Юстиция
- Основные
- Вид
- такое как
- Вероятно
- ОГРАНИЧЕНИЯ
- Linux
- логика
- сделать
- вредоносных программ
- управляемого
- многих
- Март
- означает
- механизм
- военный
- БОЛЕЕ
- самых
- движение
- с разными
- в
- необходимо
- необходимый
- сеть
- сетей
- сетей
- Новые
- примечательный
- сейчас
- многочисленный
- of
- оффлайн
- on
- ONE
- только
- начало
- операция
- Операционный отдел
- or
- организации
- Другое
- общий
- часть
- особенно
- Люди
- Часть
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- прагматический
- предшественник
- Предварительный
- процесс
- плодовитый
- Недвижимости
- ассортимент
- вымогателей
- последний
- Recover
- рекурсивный
- относительно
- публикации
- напоминающий
- удаление
- оказывать
- исследователь
- исследователи
- ответ
- ответственный
- Показали
- надежный
- Россия
- русский
- s
- Сказал
- то же
- спутник
- Саудовская
- Saudi Aramco
- говорит
- сфера
- безопасно
- сегментация
- отправка
- старший
- обслуживание
- существенно
- сходство
- So
- некоторые
- сложный
- конкретный
- распространение
- Область
- диск
- стиль
- последующее
- системы
- целевое
- направлена против
- снижения вреда
- десятки
- чем
- который
- Ассоциация
- кража
- Их
- тогда
- они
- хоть?
- тысячи
- угроза
- актеры угрозы
- пресекать
- Галстуки
- в
- том
- два
- напишите
- типично
- Украина
- украинский
- непокрытый
- В отличие от
- необоснованный
- us
- Министерство юстиции США
- использование
- используемый
- бесполезный
- через
- использовать
- Вариант
- версия
- войны
- законопроект
- когда
- который
- КТО
- Шире
- вытирание
- Работа
- лет
- еще
- зефирнет