นักวิจัยได้ค้นพบมัลแวร์ไวเปอร์เวอร์ชันที่เป็นอันตรายและแพร่หลายมากขึ้นซึ่งหน่วยข่าวกรองทหารรัสเซียใช้เพื่อขัดขวางบริการบรอดแบนด์ผ่านดาวเทียมในยูเครน ก่อนที่รัสเซียจะบุกโจมตีประเทศในเดือนกุมภาพันธ์ พ.ศ. 2022
รุ่นใหม่ “กรดเท,” มีความคล้ายคลึงกันหลายประการกับรุ่นก่อน แต่ได้รับการคอมไพล์สำหรับสถาปัตยกรรม X86 ซึ่งแตกต่างจาก AcidRain ที่กำหนดเป้าหมายระบบที่ใช้ MIPS ที่ปัดน้ำฝนใหม่ยังรวมคุณสมบัติสำหรับการใช้งานกับเป้าหมายที่มีขอบเขตกว้างกว่า AcidRain อย่างมาก ตามที่นักวิจัยจาก SentinelOne ผู้ค้นพบภัยคุกคาม
ความสามารถในการทำลายล้างที่กว้างขึ้น
“ความสามารถในการทำลายล้างที่เพิ่มขึ้นของ AcidPour ได้แก่ Linux Unsorted Block Image (UBI) และลอจิก Device Mapper (DM) ซึ่งส่งผลกระทบต่ออุปกรณ์พกพา, IoT, ระบบเครือข่าย หรือในบางกรณีอาจรวมถึงอุปกรณ์ ICS” Tom Hegel นักวิจัยภัยคุกคามอาวุโสของ SentinelOne กล่าว “อุปกรณ์อย่าง Storage Area Network (SAN), Network Attached Storage (NAS) และอาร์เรย์ RAID เฉพาะ ต่างก็อยู่ในขอบเขตของผลกระทบจาก AcidPour”
ความสามารถใหม่อีกอย่างหนึ่งของ AcidPour คือฟังก์ชันการลบตัวเองซึ่งจะลบร่องรอยของมัลแวร์ทั้งหมดออกจากระบบที่มันติดไวรัส Hegel กล่าว เขากล่าวว่า AcidPour เป็นเครื่องปัดน้ำฝนที่ค่อนข้างซับซ้อนมากกว่า AcidRain โดยชี้ไปที่การใช้งานกระบวนการแยกกระบวนการมากเกินไปและการทำซ้ำการดำเนินการบางอย่างอย่างไม่สมเหตุสมผล ซึ่งเป็นตัวอย่างของความสะเพร่าโดยรวม
SentinelOne ค้นพบ AcidRain ในเดือนกุมภาพันธ์ 2022 หลังการโจมตีทางไซเบอร์ ทำให้โมเด็มดาวเทียมราว 10,000 ตัวออฟไลน์ได้ เกี่ยวข้องกับเครือข่าย KA-SAT ของผู้ให้บริการการสื่อสาร Viasat การโจมตีดังกล่าวได้ส่งผลกระทบต่อบริการบรอดแบนด์ผู้บริโภคของลูกค้าหลายพันรายในยูเครน และต่อผู้คนนับหมื่นในยุโรป SentinelOne สรุปว่ามัลแวร์น่าจะเป็นผลงานของกลุ่มที่เกี่ยวข้องกับ Sandworm (aka APT 28, Fancy Bear และ Sofacy) ซึ่งเป็นปฏิบัติการของรัสเซียที่รับผิดชอบ การโจมตีทางไซเบอร์ที่ก่อกวนมากมาย ในยูเครน
นักวิจัยของ SentinelOne ค้นพบ AcidPour รูปแบบใหม่ครั้งแรกเมื่อวันที่ 16 มีนาคม แต่ยังไม่มีใครสังเกตเห็นใครใช้มันในการโจมตีจริง
ความสัมพันธ์ของหนอนทราย
การวิเคราะห์ที่ปัดน้ำฝนเบื้องต้นเผยให้เห็นความคล้ายคลึงหลายประการกับ AcidRain ซึ่งต่อมามีการยืนยันการดำน้ำลึกลงไปอีก การทับซ้อนที่น่าทึ่งที่ SentinelOne ค้นพบนั้นรวมถึงการใช้กลไกการรีบูตแบบเดียวกันกับ AcidRain ของ AcidPour และตรรกะที่เหมือนกันสำหรับการล้างไดเร็กทอรีแบบเรียกซ้ำ
SentinelOne ยังพบว่ากลไกการล้างข้อมูลที่ใช้ IOCTL ของ AcidPour นั้นเหมือนกับกลไกการล้างข้อมูลใน AcidRain และใน VPNFilter แพลตฟอร์มการโจมตีแบบแยกส่วน ที่กระทรวงยุติธรรมของสหรัฐอเมริกามี เชื่อมโยงกับหนอนทราย. IOCTL เป็นกลไกสำหรับการลบหรือล้างข้อมูลจากอุปกรณ์จัดเก็บข้อมูลอย่างปลอดภัยโดยการส่งคำสั่งเฉพาะไปยังอุปกรณ์
“หนึ่งในแง่มุมที่น่าสนใจที่สุดของ AcidPour คือสไตล์การเขียนโค้ดของมัน ซึ่งชวนให้นึกถึงแนวทางปฏิบัติ แคดดี้ไวเปอร์ ใช้กันอย่างแพร่หลายกับเป้าหมายของยูเครนควบคู่ไปกับมัลแวร์ที่โดดเด่นเช่น อุตสาหกรรม 2” SentinelOne กล่าว ทั้ง CaddyWiper และ Industroyer 2 เป็นมัลแวร์ที่กลุ่มรัฐที่ได้รับการสนับสนุนจากรัสเซียใช้ในการโจมตีแบบทำลายล้างต่อองค์กรต่างๆ ในยูเครน แม้กระทั่งก่อนที่รัสเซียจะรุกรานประเทศเมื่อเดือนกุมภาพันธ์ 2022 ก็ตาม
CERT ของยูเครนได้วิเคราะห์ AcidPour และอ้างว่าเป็น UAC-0165 ซึ่งเป็นผู้คุกคามที่เป็นส่วนหนึ่งของกลุ่ม Sandworm SentinelOne กล่าว
AcidPour และ AcidRain เป็นหนึ่งในตัวปัดน้ำฝนจำนวนมากที่นักแสดงชาวรัสเซียได้นำไปใช้กับเป้าหมายของยูเครนในช่วงไม่กี่ปีที่ผ่านมา และโดยเฉพาะอย่างยิ่งหลังจากเริ่มสงครามในปัจจุบันระหว่างทั้งสองประเทศ แม้ว่าผู้คุกคามสามารถจัดการให้โมเด็มนับพันตัวออฟไลน์ในการโจมตี Viasat ได้ แต่บริษัทก็สามารถกู้คืนและปรับใช้โมเด็มเหล่านั้นได้อีกครั้งหลังจากลบมัลแวร์ออกแล้ว
อย่างไรก็ตาม ในหลายกรณี องค์กรต่างๆ ถูกบังคับให้ละทิ้งระบบหลังจากการโจมตีแบบ Wiper ตัวอย่างที่โดดเด่นที่สุดประการหนึ่งคือปี 2012 Shamoon การโจมตีแบบไวเปอร์ต่อ Saudi Aramco ซึ่งทำให้ระบบประมาณ 30,000 ระบบในบริษัทพิการ
เช่นเดียวกับในกรณีของ Shamoon และ AcidRain ผู้คุกคามมักไม่จำเป็นต้องสร้างที่ปัดน้ำฝนที่ซับซ้อนเพื่อให้มีประสิทธิภาพ นั่นเป็นเพราะว่าฟังก์ชันเดียวของมัลแวร์คือการเขียนทับหรือลบข้อมูลจากระบบและทำให้ข้อมูลเหล่านั้นไร้ประโยชน์ กลยุทธ์การหลีกเลี่ยง และเทคนิคการทำให้งงงวยที่เกี่ยวข้องกับการโจรกรรมข้อมูลและการโจมตีจารกรรมทางไซเบอร์นั้นไม่จำเป็น
การป้องกันที่ดีที่สุดสำหรับที่ปัดน้ำฝน — หรือเพื่อจำกัดความเสียหายจากสิ่งปัดน้ำฝน — คือการใช้การป้องกันแบบเดียวกันกับแรนซัมแวร์ นั่นหมายถึงการมีการสำรองข้อมูลไว้สำหรับข้อมูลสำคัญและรับรองแผนและความสามารถในการตอบสนองต่อเหตุการณ์ที่มีประสิทธิภาพ
การแบ่งส่วนเครือข่ายก็เป็นสิ่งสำคัญเช่นกัน เนื่องจากที่ปัดน้ำฝนจะมีประสิทธิภาพมากกว่าเมื่อสามารถแพร่กระจายไปยังระบบอื่นได้ ดังนั้นท่าทางการป้องกันประเภทนั้นจึงช่วยป้องกันการเคลื่อนไหวด้านข้าง
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :มี
- :เป็น
- :ไม่
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- สามารถ
- ตาม
- นักแสดง
- ที่เกิดขึ้นจริง
- หลังจาก
- กับ
- อาคา
- ทั้งหมด
- คู่ขนาน
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- ทุกคน
- APT
- สถาปัตยกรรม
- เป็น
- AREA
- AS
- ด้าน
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- การสำรองข้อมูล
- BE
- หมี
- หมี
- เพราะ
- รับ
- ก่อน
- ที่ดีที่สุด
- ระหว่าง
- ปิดกั้น
- ทั้งสอง
- บรอดแบนด์
- ที่กว้างขึ้น
- แต้
- แต่
- by
- ความสามารถในการ
- ความสามารถ
- กรณี
- กรณี
- บาง
- การเข้ารหัส
- คมนาคม
- บริษัท
- รวบรวม
- สรุป
- ยืนยัน
- ผู้บริโภค
- ประเทศ
- ประเทศ
- วิกฤติ
- ปัจจุบัน
- ลูกค้า
- ไซเบอร์
- cyberattack
- ความเสียหาย
- Dangerous
- ข้อมูล
- ทุ่มเท
- ลึก
- ป้องกัน
- การป้องกัน
- แผนก
- กระทรวงยุติธรรม
- นำไปใช้
- เครื่อง
- อุปกรณ์
- ค้นพบ
- ทำลาย
- กระจัดกระจาย
- ซึ่งทำให้ยุ่ง
- การดำน้ำ
- DM
- มีประสิทธิภาพ
- ผลกระทบ
- การสร้างความมั่นใจ
- การจารกรรม
- ยุโรป
- แม้
- ตัวอย่าง
- มากเกินไป
- ขยาย
- แฟนซี
- คุณสมบัติ
- กุมภาพันธ์
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- ถูกบังคับ
- พบ
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- บัญชีกลุ่ม
- กลุ่ม
- มี
- มี
- he
- จะช่วยให้
- HTTPS
- identiques
- ภาพ
- ผลกระทบ
- การดำเนินการ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- ประกอบด้วย
- รวม
- รวมถึง
- แรกเริ่ม
- Intelligence
- น่าสนใจ
- การบุกรุก
- IOT
- IT
- ITS
- jpeg
- เพียงแค่
- ความยุติธรรม
- คีย์
- ชนิด
- กดไลก์
- น่าจะ
- LIMIT
- ลินุกซ์
- ตรรกะ
- ทำ
- มัลแวร์
- การจัดการ
- หลาย
- มีนาคม
- วิธี
- กลไก
- ทหาร
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- หลาย
- ที่
- จำเป็น
- จำเป็น
- เครือข่าย
- เครือข่าย
- เครือข่าย
- ใหม่
- โดดเด่น
- ตอนนี้
- มากมาย
- of
- ออฟไลน์
- on
- ONE
- เพียง
- การโจมตี
- การดำเนินการ
- การดำเนินการ
- or
- องค์กร
- อื่นๆ
- ทั้งหมด
- ส่วนหนึ่ง
- โดยเฉพาะ
- คน
- สถานที่
- แผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ในทางปฏิบัติ
- บรรพบุรุษ
- ก่อน
- กระบวนการ
- อุดมสมบูรณ์
- ผู้จัดหา
- พิสัย
- ransomware
- เมื่อเร็ว ๆ นี้
- กู้
- ซ้ำ
- สัมพัทธ์
- สัมพันธ์
- เตือนความทรงจำ
- ลบ
- ผล
- นักวิจัย
- นักวิจัย
- คำตอบ
- รับผิดชอบ
- เปิดเผย
- แข็งแรง
- รัสเซีย
- รัสเซีย
- s
- กล่าวว่า
- เดียวกัน
- ดาวเทียม
- ซาอุดีอาระเบีย
- Saudi Aramco
- พูดว่า
- ขอบเขต
- อย่างปลอดภัย
- การแบ่งส่วน
- การส่ง
- ระดับอาวุโส
- บริการ
- อย่างมีความหมาย
- ความคล้ายคลึงกัน
- So
- บาง
- ซับซ้อน
- โดยเฉพาะ
- กระจาย
- สถานะ
- การเก็บรักษา
- สไตล์
- ภายหลัง
- ระบบ
- เป้าหมาย
- เป้าหมาย
- เทคนิค
- เมตริกซ์
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- พวกเขา
- แล้วก็
- พวกเขา
- แต่?
- พัน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ขัดขวาง
- ความสัมพันธ์
- ไปยัง
- ทอม
- สอง
- ชนิด
- เป็นปกติ
- ประเทศยูเครน
- ยูเครน
- เปิด
- แตกต่าง
- ไม่รับประกัน
- us
- กระทรวงยุติธรรมสหรัฐ
- ใช้
- มือสอง
- ไร้ประโยชน์
- การใช้
- ใช้
- ตัวแปร
- รุ่น
- สงคราม
- คือ
- เมื่อ
- ที่
- WHO
- กว้าง
- เช็ด
- กับ
- งาน
- ปี
- ยัง
- ลมทะเล