Російський APT випускає більш смертоносний варіант шкідливого програмного забезпечення AcidRain Wiper

Дослідники виявили більш небезпечну та плідну версію зловмисного програмного забезпечення wiper, яке використовувала російська військова розвідка для переривання послуг супутникового широкосмугового зв’язку в Україні безпосередньо перед вторгненням Росії в країну в лютому 2022 року.

Новий варіант, "AcidPour,” багато в чому подібний до свого попередника, але скомпільований для архітектури X86, на відміну від AcidRain, який націлений на системи на основі MIPS. За словами дослідників SentinelOne, які виявили загрозу, новий склоочисник також містить функції для його використання проти значно ширшого кола цілей, ніж AcidRain.

Ширші руйнівні можливості

«Розширені деструктивні можливості AcidPour включають Linux Unsorted Block Image (UBI) і логіку Device Mapper (DM), яка впливає на кишенькові комп’ютери, IoT, мережі або, в деяких випадках, пристрої ICS», — говорить Том Хегель, старший дослідник загроз SentinelOne. «Тепер такі пристрої, як мережі зберігання даних (SAN), мережеве сховище (NAS) і виділені масиви RAID, також підпадають під вплив AcidPour».

Ще одна нова можливість AcidPour — це функція самовидалення, яка стирає всі сліди зловмисного програмного забезпечення з систем, які воно заражає, говорить Хегель. За його словами, AcidPour є відносно складнішим склоочисником, ніж AcidRain, вказуючи на надмірне використання останнім розгалуження процесів і необґрунтоване повторення певних операцій як приклади його загальної неохайності.

SentinelOne виявив AcidRain у лютому 2022 року після кібератаки, яка вивела з ладу близько 10,000 XNUMX супутникових модемів пов’язані з мережею KA-SAT постачальника зв’язку Viasat. Атака призвела до перебоїв у наданні широкосмугового зв’язку тисячам клієнтів в Україні та десяткам тисяч людей у ​​Європі. SentinelOne дійшов висновку, що зловмисне програмне забезпечення, ймовірно, є роботою групи, пов’язаної з Sandworm (також відомою як APT 28, Fancy Bear і Sofacy), російською операцією, відповідальною за численні руйнівні кібератаки в Україні.

Дослідники SentinelOne вперше помітили новий варіант, AcidPour, 16 березня, але ще не помітили, щоб хтось використовував його в реальній атаці.

Піщаний черв'як

Їхній початковий аналіз склоочисника виявив численні схожості з AcidRain, що підтвердило подальше глибше занурення. Помітні збіги, виявлені SentinelOne, включали використання AcidPour того самого механізму перезавантаження, що й AcidRain, і ідентичної логіки для рекурсивного стирання каталогів.

SentinelOne також виявив, що механізм стирання AcidPour на основі IOCTL такий самий, як і механізм стирання в AcidRain і VPNFilter, модульна платформа атаки які має Міністерство юстиції США пов'язаний з Sandworm. IOCTL — це механізм безпечного стирання або знищення даних із пристроїв зберігання шляхом надсилання певних команд на пристрій.

«Одним із найцікавіших аспектів AcidPour є його стиль кодування, який нагадує прагматичний CaddyWiper широко використовується проти українських цілей разом із такими відомими шкідливими програмами, як Індустрієр 2", - сказав SentinelOne. І CaddyWiper, і Industroyer 2 — це зловмисне програмне забезпечення, яке використовувалося підтримуваними Росією державними групами для деструктивних атак на організації в Україні ще до вторгнення Росії в країну в лютому 2022 року.

Український CERT проаналізував AcidPour і приписав UAC-0165, загрозу, яка є частиною групи Sandworm, повідомляє SentinelOne.

AcidPour і AcidRain є одними з численних засобів очищення, які російські актори розгорнули проти українських цілей в останні роки — і особливо після початку нинішньої війни між двома країнами. Незважаючи на те, що під час атаки Viasat зловмиснику вдалося вивести з ладу тисячі модемів, компанія змогла відновити їх і повторно розгорнути після видалення зловмисного програмного забезпечення.

Однак у багатьох інших випадках організації були змушені відмовитися від систем після атаки склоочисника. Одним із найяскравіших прикладів є 2012 рік Шамон атака склоочисників на Saudi Aramco, яка пошкодила близько 30,000 XNUMX систем у компанії.

Як і у випадку з Shamoon і AcidRain, учасникам загроз зазвичай не потрібно було робити складні склоочисники, щоб бути ефективними. Це тому, що єдина функція зловмисного програмного забезпечення — перезаписувати або видаляти дані з систем і робити їх марними, тому тактика ухилення і методи обфускації, пов’язані з крадіжкою даних і атаками кібершпигунства, не потрібні.

Найкращий захист від склоочисників — або обмеження шкоди від них — це запровадити той самий захист, що й для програм-вимагачів. Це означає наявність резервних копій критично важливих даних і забезпечення надійних планів реагування на інциденти та можливостей.

Сегментація мережі також є ключовою, оскільки склоочисники ефективніші, коли вони здатні поширюватися на інші системи, тому такий тип захисної позиції допомагає перешкоджати бічному руху.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware