Ülkedeki operasyonları bozmayı amaçlayan Ukrayna'daki kritik altyapıya karşı hedeflenen saldırılarda 'Pathwiper' adlı yeni bir veri silecek kötü amaçlı yazılımı kullanılmaktadır.
Yük, meşru bir uç nokta yönetim aracı aracılığıyla dağıtıldı, bu da saldırganların önceki bir uzlaşma yoluyla sisteme idari erişim sağladığını gösterdi.
Saldırıyı keşfeden Cisco Talos araştırmacıları, onu Rusya'ya bağlı ileri kalıcı bir tehdide (APT) yüksek bir güvenle ilişkilendirdi.
Araştırmacılar, PathWiper'ı daha önce Ukrayna'da konuşlandırılan Hermeticwiper ile benzer işlevselliğe sahip 'Sandworm' tehdit grubu ile karşılaştırıyorlar.
Bu nedenle, Pathwiper, aynı veya örtüşen tehdit kümelerinin saldırılarında kullanılan Hermetikwiper'ın bir evrimi olabilir.
PathWiper, birincil yükü (SHA256SUM.EXE) [Virustotal] düşüren ve yürüten kötü amaçlı bir VBScript (UACInstall.vbs) başlatan bir Windows toplu iş dosyası aracılığıyla hedef sistemlerde yürütülür.
Yürütme, algılamadan kaçınmak için meşru bir yönetici aracıyla ilişkili davranışı ve isimleri taklit eder.
Hermeticwiper gibi fiziksel sürücüleri sıralamak yerine, Pathwiper, sistemdeki tüm bağlı sürücüleri (yerel, ağ, sökülmüş) programlı olarak tanımlar.
Ardından, Windows API'lerini yolsuzluğa hazırlamak için hacimleri sökmek için kötüye kullanır ve daha sonra kritik NTFS yapılarının üzerine yazmak için her cilt için iş parçacığı oluşturur.
NTFS'nin kök dizinindeki hedeflenen sistem dosyaları arasında:
PathWiper, yukarıdakilerin ve rastgele baytlara sahip beş kritik NTFS dosyasının üzerine yazar ve etkilenen sistemleri tamamen çalışmaz hale getirir.
Gözlenen saldırılar gasp veya herhangi bir finansal talep içermez, bu nedenle tek amaçları yıkım ve operasyonel aksamadır.
Cisco Talos, tehdidi tespit etmeye ve sürücüleri bozmadan önce durdurmaya yardımcı olmak için dosya karma ve snort kurallarını yayınladı.
Veri silecekleri, savaş başladığından beri Ukrayna'ya yapılan saldırılarda güçlü bir araç haline geldi ve Rus tehdit aktörleri onları ülkedeki kritik operasyonları bozmak için kullanıyor.
Buna DoubleZero, Caddywiper, Hermeticwiper, Isaacwiper, Whisperkill, Whispergate ve Acidrain adlı silecekler dahildir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın - karmaşık komut dosyaları gerekmez.
Kamu hizmetleri olarak poz veren kötü amaçlı NPM paketleri proje dizinlerini sil
Ukrayna, Rusya’nın stratejik savaş uçağı üreticisi Tupoev'i hacklediğini iddia ediyor
Hollanda Polis Hack ile bağlantılı Rus Çamaşır Ayı Siber Bearspies
NPM'de düzinelerce kötü amaçlı paket, ana bilgisayar ve ağ verileri toplayın
Rus hackerlar Ukrayna'ya yardım yollarını izlemek için orgs ihlal
Kaynak: Bleeping Computer