俄罗斯 APT 发布更致命的 AcidRain Wiper 恶意软件变种

由柏拉图重新发布

关注： 0

俄罗斯 APT 发布了更致命的 AcidRain Wiper 恶意软件变体 PlatoBlockchain 数据情报。垂直搜索。人工智能。

研究人员发现，俄罗斯军事情报部门在 2022 年 XNUMX 月入侵乌克兰之前，曾使用该恶意软件破坏乌克兰的卫星宽带服务，该恶意软件更为危险且多产。

新的变体，“酸倾倒，与它的前身有很多相似之处，但它是针对 X86 架构编译的，不像 AcidRain 是针对基于 MIPS 的系统。据发现该威胁的 SentinelOne 研究人员称，新型雨刮器还具有比 AcidRain 更广泛的功能，可用于对抗更广泛的目标。

更广泛的破坏能力

SentinelOne 高级威胁研究员 Tom Hegel 表示：“AcidPour 扩展的破坏性功能包括 Linux 未排序块映像 (UBI) 和设备映射器 (DM) 逻辑，这些逻辑会影响手持设备、物联网、网络，或者在某些情况下影响 ICS 设备。” “存储区域网络 (SAN)、网络附加存储 (NAS) 和专用 RAID 阵列等设备现在也在 AcidPour 的影响范围内。”

Hegel 说，AcidPour 的另一个新功能是自删除功能，可以从其感染的系统中删除恶意软件的所有痕迹。他说，总体而言，AcidPour 是一个比 AcidRain 更复杂的擦拭器，并指出后者过度使用进程分叉和无端重复某些操作，作为其整体草率的例子。

SentinelOne 在 2022 年 XNUMX 月发生网络攻击后发现了 AcidRain 约 10,000 个卫星调制解调器离线与通信提供商 Viasat 的 KA-SAT 网络相关。这次攻击中断了乌克兰数千名客户和欧洲数万人的消费者宽带服务。 SentinelOne 得出的结论是，该恶意软件很可能是与 Sandworm（又名 APT 28、Fancy Bear 和 Sofacy）相关的组织所为，该组织是一个俄罗斯组织，负责大量破坏性网络攻击在乌克兰。

SentinelOne 研究人员于 16 月 XNUMX 日首次发现新变种 AcidPour，但尚未观察到有人在实际攻击中使用它。

沙虫领带

他们对雨刮器的初步分析揭示了与 AcidRain 的多种相似之处，随后的深入研究证实了这一点。 SentinelOne 发现的显着重叠包括 AcidPour 使用与 AcidRain 相同的重启机制，以及相同的递归目录擦除逻辑。

SentinelOne 还发现 AcidPour 基于 IOCTL 的擦除机制与 AcidRain 和 VPNFilter 中的擦除机制相同。模块化攻击平台美国司法部已链接到沙虫。 IOCTL 是一种通过向设备发送特定命令来安全地擦除或擦除存储设备中的数据的机制。

“AcidPour 最有趣的方面之一是它的编码风格，让人想起务实的球童刮水器广泛用于针对乌克兰目标以及著名的恶意软件，例如工业家 2”，SentinelOne 说道。 CaddyWiper 和 Industroyer 2 都是俄罗斯支持的国家组织在俄罗斯 2022 年 XNUMX 月入侵乌克兰之前就使用的恶意软件，对乌克兰的组织进行破坏性攻击。

SentinelOne 表示，乌克兰 CERT 分析了 AcidPour，并将其归因于 UAC-0165，UAC-XNUMX 是 Sandworm 组织的一部分。

AcidPour 和 AcidRain 是俄罗斯行为者近年来针对乌克兰目标部署的众多擦拭器之一，尤其是在两国之间当前战争爆发之后。尽管威胁行为者在 Viasat 攻击中设法使数千个调制解调器离线，但该公司在删除恶意软件后仍能够恢复并重新部署它们。

然而，在许多其他情况下，组织在擦除器攻击后被迫丢弃系统。最值得注意的例子之一是 2012 年 Shamoon 对沙特阿美石油公司 (Saudi Aramco) 的擦除器攻击导致该公司约 30,000 个系统瘫痪。

与 Shamoon 和 AcidRain 的情况一样，威胁行为者通常不需要使雨刮器变得复杂就能发挥作用。这是因为恶意软件的唯一功能是覆盖或删除系统中的数据并使它们变得无用，所以回避策略与数据盗窃和网络间谍攻击相关的混淆技术是不必要的。

针对擦除器的最佳防御措施（或限制其造成的损害）是实施与勒索软件相同的防御措施。这意味着对关键数据进行备份并确保强大的事件响应计划和能力。

网络分段也很关键，因为当擦拭器能够传播到其他系统时，它们会更加有效，因此这种类型的防御态势有助于阻止横向移动。