Cisco Talos, Ukrayna’da kritik bir altyapı varlığını hedefleyen sofistike ve yıkıcı bir siber saldırıyı ortaya çıkardı ve daha önce bilinmeyen bir silecek kötü amaçlı yazılımını “Pathwiper” olarak adlandırdı.
Bir Rusya-Nexus İleri Durum Tehdit (APT) aktörüne yüksek güvenle atfedilen bu saldırı, devam eden Rusya-Ukraye çatışması ortasında Ukrayna kritik altyapısı için kalıcı ve gelişen tehdidi sergiliyor.
Saldırganlar meşru bir uç nokta yönetim çerçevesinden yararlandı, muhtemelen kötü niyetli komutlar vermek ve Pathwiper’ı bağlı uç noktalara dağıtmak için yönetim konsoluna erişim sağladı.
.png
)
Bu yaklaşım, kurbanın çevresini ve içinde kullanılan idari araçların derin bir şekilde anlaşıldığını ve kampanyanın hesaplanan ve sinsi doğasını vurgulayarak derin bir anlayış gösteriyor.
Ukrayna altyapısına yıkıcı bir saldırı
Bu saldırıda gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler), sileceklerin yetenekleri ile birlikte, Ukraynalı varlıkları hedefleyen önceki yıkıcı kötü amaçlı yazılım kampanyalarına çarpıcı benzerlikler taşıyarak Rusça uyumlu tehdit aktörlerine atfetmeyi daha da sağlamlaştırıyor.
Saldırının infazı, meşru operasyonlarla karışmak için tasarlanmış çok aşamalı bir sürece dayanıyordu.
Meyveden çıkarılan idari konsoldan verilen komutlar, uç nokta istemcileri tarafından alındı ve toplu (BAT) dosyaları olarak yürütüldü, komut satırları kısmen emişinkini taklit etmesine rağmen, varlığını göstermese de.
Bu yarasa dosyaları, konsol aracılığıyla uç noktalara itilen ve wscript.exe kullanılarak yürütülen ‘uacinstall.vbs’ adlı kötü amaçlı bir VBScript’i tetikledi.
Bu komut dosyası, sisteme zarar vermek için ‘sha256sum.exe’ olarak gizlenmiş olan PathWiper yürütülebilir dosyasını dağıttı.
İdari hizmetin beklenen davranışını taklit eden dosya adlarının ve eylemlerin kullanılması, saldırganların konsolun hedeflenen işletme içindeki işlevselliği hakkında önceden bilgi sahibi olduğunu ve bunların gizli çalışmasını sağladığını göstermektedir.
Pathwiper’ın sofistike dağıtım
Etkinleştirildikten sonra, Pathwiper sistemleri çalıştırılamaz hale getirmeyi amaçlayan yıkıcı yetenekler sergiler.
Fiziksel sürücü adları, hacim yolları ve ağ paylaşımlı sürücü konumları dahil olmak üzere bağlı depolama ortamı hakkında bilgi toplar, hatta tahribat için kaldırılmış ağ sürücü yollarını tanımlamak için kayıt defteri anahtarlarını sorgular.
Kötü amaçlı yazılım, ana önyükleme kaydı (MBR), $ mft, $ logFile ve rastgele oluşturulan verilere sahip diğer NTFS yapıları gibi kritik dosya sistemi artefaktlarının üzerine yazarak her sürücü ve ses seviyesi için ayrı iş parçacıklarını ortaya çıkarır.
2022’de Ukrayna varlıklarını hedefleyen ve Rusya’nın kum kurdu grubuyla bağlantılı olan Hermeticwiper gibi daha önceki sileceklerin aksine, Pathwiper, bağlantılı sürücüleri körü körüne numaralandırmak yerine programlı olarak tanımlayarak ve doğrulayarak daha rafine bir yaklaşım kullanır.
Rapora göre, bu hassasiyet, FSCTL_DISMOUNT_VOLUME IOCTL kullanarak hacimleri sökme çabalarıyla birleştiğinde, kötü amaçlı yazılımların maksimum bozulma için gelişmiş tasarımının altını çiziyor.
Çekirdek disk yapılarının bozulmasında HermeticWiper ile semantik benzerlikleri paylaşırken, Pathwiper’ın doğrulanmış sürücülerin nüanslı hedeflemesi, onu silecek kötü amaçlı yazılım teknolojisinde zorlu bir evrim olarak ayırır.
Pathwiper gibi silecek varyantlarının sürekli gelişimi, Ukrayna altyapısının sakatlanmasına yönelik bir odaklanmaya işaret ettiğinden, bu saldırının daha geniş etkileri endişe vericidir.
Bölgedeki ve ötesindeki kuruluşlar, bu tür tehditleri azaltmak için sağlam uç nokta güvenliğine, idari erişim kontrollerine ve tehdit izlemeye öncelik vermelidir.
Cisco Talos’un bulguları, yüksek bahisli siber savaş manzarasının ve devlet destekli APT aktörlerine karşı acil uyanıklık ihtiyacının eleştirel bir hatırlatıcısı olarak hizmet ediyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip |
|---|---|
| 7C792A2B005B240D30A6E22EF98B99174856F9AB55C74DF220F32FE0D6B3 | Dosya karma (sha-256) |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun