Yeni PathWiper kötü amaçlı yazılım, yönetici araçlarını dağıtmak için kritik altyapıyı hedefler


Cisco Talos, Ukrayna’da kritik bir altyapı varlığını hedefleyen sofistike ve yıkıcı bir siber saldırıyı ortaya çıkardı ve daha önce bilinmeyen bir silecek kötü amaçlı yazılımını “Pathwiper” olarak adlandırdı.

Bir Rusya-Nexus İleri Durum Tehdit (APT) aktörüne yüksek güvenle atfedilen bu saldırı, devam eden Rusya-Ukraye çatışması ortasında Ukrayna kritik altyapısı için kalıcı ve gelişen tehdidi sergiliyor.

Saldırganlar meşru bir uç nokta yönetim çerçevesinden yararlandı, muhtemelen kötü niyetli komutlar vermek ve Pathwiper’ı bağlı uç noktalara dağıtmak için yönetim konsoluna erişim sağladı.

– Reklamcılık –
Google Haberleri

Bu yaklaşım, kurbanın çevresini ve içinde kullanılan idari araçların derin bir şekilde anlaşıldığını ve kampanyanın hesaplanan ve sinsi doğasını vurgulayarak derin bir anlayış gösteriyor.

Ukrayna altyapısına yıkıcı bir saldırı

Bu saldırıda gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler), sileceklerin yetenekleri ile birlikte, Ukraynalı varlıkları hedefleyen önceki yıkıcı kötü amaçlı yazılım kampanyalarına çarpıcı benzerlikler taşıyarak Rusça uyumlu tehdit aktörlerine atfetmeyi daha da sağlamlaştırıyor.

Saldırının infazı, meşru operasyonlarla karışmak için tasarlanmış çok aşamalı bir sürece dayanıyordu.

Meyveden çıkarılan idari konsoldan verilen komutlar, uç nokta istemcileri tarafından alındı ​​ve toplu (BAT) dosyaları olarak yürütüldü, komut satırları kısmen emişinkini taklit etmesine rağmen, varlığını göstermese de.

Bu yarasa dosyaları, konsol aracılığıyla uç noktalara itilen ve wscript.exe kullanılarak yürütülen ‘uacinstall.vbs’ adlı kötü amaçlı bir VBScript’i tetikledi.

Bu komut dosyası, sisteme zarar vermek için ‘sha256sum.exe’ olarak gizlenmiş olan PathWiper yürütülebilir dosyasını dağıttı.

İdari hizmetin beklenen davranışını taklit eden dosya adlarının ve eylemlerin kullanılması, saldırganların konsolun hedeflenen işletme içindeki işlevselliği hakkında önceden bilgi sahibi olduğunu ve bunların gizli çalışmasını sağladığını göstermektedir.

Pathwiper’ın sofistike dağıtım

Etkinleştirildikten sonra, Pathwiper sistemleri çalıştırılamaz hale getirmeyi amaçlayan yıkıcı yetenekler sergiler.

Fiziksel sürücü adları, hacim yolları ve ağ paylaşımlı sürücü konumları dahil olmak üzere bağlı depolama ortamı hakkında bilgi toplar, hatta tahribat için kaldırılmış ağ sürücü yollarını tanımlamak için kayıt defteri anahtarlarını sorgular.

Kötü amaçlı yazılım, ana önyükleme kaydı (MBR), $ mft, $ logFile ve rastgele oluşturulan verilere sahip diğer NTFS yapıları gibi kritik dosya sistemi artefaktlarının üzerine yazarak her sürücü ve ses seviyesi için ayrı iş parçacıklarını ortaya çıkarır.

2022’de Ukrayna varlıklarını hedefleyen ve Rusya’nın kum kurdu grubuyla bağlantılı olan Hermeticwiper gibi daha önceki sileceklerin aksine, Pathwiper, bağlantılı sürücüleri körü körüne numaralandırmak yerine programlı olarak tanımlayarak ve doğrulayarak daha rafine bir yaklaşım kullanır.

Rapora göre, bu hassasiyet, FSCTL_DISMOUNT_VOLUME IOCTL kullanarak hacimleri sökme çabalarıyla birleştiğinde, kötü amaçlı yazılımların maksimum bozulma için gelişmiş tasarımının altını çiziyor.

Çekirdek disk yapılarının bozulmasında HermeticWiper ile semantik benzerlikleri paylaşırken, Pathwiper’ın doğrulanmış sürücülerin nüanslı hedeflemesi, onu silecek kötü amaçlı yazılım teknolojisinde zorlu bir evrim olarak ayırır.

Pathwiper gibi silecek varyantlarının sürekli gelişimi, Ukrayna altyapısının sakatlanmasına yönelik bir odaklanmaya işaret ettiğinden, bu saldırının daha geniş etkileri endişe vericidir.

Bölgedeki ve ötesindeki kuruluşlar, bu tür tehditleri azaltmak için sağlam uç nokta güvenliğine, idari erişim kontrollerine ve tehdit izlemeye öncelik vermelidir.

Cisco Talos’un bulguları, yüksek bahisli siber savaş manzarasının ve devlet destekli APT aktörlerine karşı acil uyanıklık ihtiyacının eleştirel bir hatırlatıcısı olarak hizmet ediyor.

Uzlaşma Göstergeleri (IOCS)

GöstergeTip
7C792A2B005B240D30A6E22EF98B99174856F9AB55C74DF220F32FE0D6B3Dosya karma (sha-256)

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link