Ülkedeki operasyonları bozmayı amaçlayan Ukrayna’daki kritik altyapıya karşı hedeflenen saldırılarda ‘Pathwiper’ adlı yeni bir veri silecek kötü amaçlı yazılımı kullanılmaktadır.
Yük, meşru bir uç nokta yönetim aracı aracılığıyla dağıtıldı, bu da saldırganların önceki bir uzlaşma yoluyla sisteme idari erişim sağladığını gösterdi.
Saldırıyı keşfeden Cisco Talos araştırmacıları, onu Rusya’ya bağlı ileri kalıcı bir tehdide (APT) yüksek bir güvenle ilişkilendirdi.
Araştırmacılar, PathWiper’ı daha önce Ukrayna’da konuşlandırılan Hermeticwiper ile benzer işlevselliğe sahip ‘Sandworm’ tehdit grubu ile karşılaştırıyorlar.
Bu nedenle, Pathwiper, aynı veya örtüşen tehdit kümelerinin saldırılarında kullanılan Hermetikwiper’ın bir evrimi olabilir.
Pathwiper’ın yıkıcı yetenekleri
PathWiper, kötü amaçlı bir VBScript (UACInstall.vbs) başlatan bir Windows toplu dosyası aracılığıyla hedef sistemlerde çalışır, bu da birincil yükü düşürür ve yürütür (sha256sum.exe) [VirusTotal].
Yürütme, algılamadan kaçınmak için meşru bir yönetici aracıyla ilişkili davranışı ve isimleri taklit eder.
Hermeticwiper gibi fiziksel sürücüleri sıralamak yerine, Pathwiper, sistemdeki tüm bağlı sürücüleri (yerel, ağ, sökülmüş) programlı olarak tanımlar.
Ardından, Windows API’lerini yolsuzluğa hazırlamak için hacimleri sökmek için kötüye kullanır ve daha sonra kritik NTFS yapılarının üzerine yazmak için her cilt için iş parçacığı oluşturur.
NTFS’nin kök dizinindeki hedeflenen sistem dosyaları arasında:
- MBR (Ana önyükleme kaydı): Bootloader ve bölüm tablosunu tutan fiziksel bir diskin ilk sektörü.
- $ MFT (Ana Dosya Tablosu): Meta verileri ve diskteki konumlar da dahil olmak üzere tüm dosyaları ve dizinleri kataloglayan Core NTFS sistem dosyası.
- $ Logfile: Journal, NTFS işlem günlüğü, dosya değişikliklerini izleme ve bütünlük kontrolü ve kurtarmaya yardımcı olmak için kullanılır.
- $ Boot: Önyükleme sektörü ve dosya sistemi düzeni bilgileri içeren dosya.
PathWiper, yukarıdakilerin ve rastgele baytlara sahip beş kritik NTFS dosyasının üzerine yazar ve etkilenen sistemleri tamamen çalışmaz hale getirir.
Gözlenen saldırılar gasp veya herhangi bir finansal talep içermez, bu nedenle tek amaçları yıkım ve operasyonel aksamadır.
Cisco Talos, tehdidi tespit etmeye ve sürücüleri bozmadan önce durdurmaya yardımcı olmak için dosya karma ve snort kurallarını yayınladı.
Veri silecekleri, savaş başladığından beri Ukrayna’ya yapılan saldırılarda güçlü bir araç haline geldi ve Rus tehdit aktörleri onları ülkedeki kritik operasyonları bozmak için kullanıyor.
Buna DoubleZero, Caddywiper, Hermeticwiper, Isaacwiper, Whisperkill, Whispergate ve Acidrain adlı silecekler dahildir.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.