Sofistike bir siber saldırı kampanyası, Ukrayna’nın eleştirel altyapısını hedefleyen ve araştırmacıların “Pathwiper” tayin daha önce bilinmeyen bir yıkıcı kötü amaçlı yazılım varyantını kullanarak ortaya çıktı.
Bu son tehdit, devam eden siber savaş manzarasında önemli bir artışı temsil eder ve bu da zorunlu ulusun temel hizmetlerine ve sistemlerinde maksimum bozulmaya neden olmak için tasarlanmış gelişmiş yetenekleri gösterir.
Kötü amaçlı yazılım kampanyası, başlangıç erişimini elde etmek ve yıkıcı yükünü hedeflenen kuruluşlar içindeki bağlı sistemlere dağıtmak için meşru uç nokta yönetim çerçevelerinden yararlanır.
.png
)
Kalıcılığı korumaya veya verileri çalmaya çalışan geleneksel kötü amaçlı yazılımların aksine, Pathwiper bir silecek olarak işlev görür – özellikle verileri kalıcı olarak yok etmek ve kritik dosya sistemi bileşenlerini randomize verilerle üzerine yazarak sistemleri çalıştırılamaz hale getirmek için tasarlanmış bir kötü amaçlı yazılım sınıfı.
Cisco Talos analistleri, Ukrayna içindeki uzlaşmış bir kritik altyapı varlığı araştırması sırasında bu yıkıcı saldırıyı belirledi ve kampanyayı Rusya-Nexus’un yüksek güvenle ileri süren ısrarlı tehdit aktörüne atfetti.
Atıf değerlendirmesi, Ukrayna varlıklarını hedefleyen önceki yıkıcı kampanyalarda gözlenen örtüşen taktikler, teknikler ve prosedürlere ve daha önce ülkenin altyapısına göre konuşlandırılan silecek yeteneklerindeki benzerliklere dayanmaktadır.
Pathwiper gibi sofistike silecek varyantlarının sürekli ortaya çıkması, Rusya ile çatışma dördüncü yılına kadar uzansa bile, Ukrayna’nın kritik altyapısının karşı karşıya olduğu sürekli ve gelişen tehdit manzarasının altını çiziyor.
Bu son keşif, tehdit aktörlerinin yıkıcı yeteneklerini geliştirmeye nasıl devam ettiklerini ve metodolojilerini sivil nüfusların güvendiği temel hizmetlere karşı etkiyi en üst düzeye çıkarmak için nasıl uyarladığını vurgulamaktadır.
Enfeksiyon mekanizması ve dağıtım stratejisi
Pathwiper’ın dağıtım metodolojisi, hedef ağlardaki dağıtım verimliliğini en üst düzeye çıkarmak için tehlikeye atılmış idari erişimden yararlanan dikkatle düzenlenmiş bir saldırı zincirini ortaya çıkarır.
İlk uzlaşma, meşru uç nokta yönetim konsollarına yetkisiz erişim elde etmeye odaklanıyor gibi görünüyor, bu da aktörleri tehdit eden, daha sonra mağdur ortamındaki tüm bağlantılı uç noktalarda kötü niyetli komutlar vermek için yararlanıyor.
Saldırı ilerlemesi, tehlikeye atılan idari araçlar, meşru idari işlemleri taklit etmek için tasarlanmış VBScript komutlarını içeren toplu iş dosyalarını yürüttüğünde başlar.
Özellikle, kötü niyetli komut C:\WINDOWS\System32\WScript.exe C:\WINDOWS\TEMP\uacinstall.vbs dağıtım sırasını başlatır, ardından PathWiper yürütülebilir dosyasının yürütülmesi C:\WINDOWS\TEMP\sha256sum.exe.
Bu adlandırma sözleşmesi, ortak sistem kamu hizmetlerini kasıtlı olarak taklit ederek saldırganların hedef ortamın idari süreçleri ve standart operasyonel prosedürler hakkında ayrıntılı bilgiye sahip olduğunu düşündürmektedir.
Kötü amaçlı yazılımın dosya sistemi yıkımına yönelik sofistike yaklaşımı, yıkım verimliliğini en üst düzeye çıkarmak için paralel iş parçacıkları başlatmadan önce fiziksel sürücüler, ağ paylaşımları ve çıkarılabilir cihazlar dahil olmak üzere tüm bağlı depolama ortamlarını programlı olarak tanımlamayı içerir.
PathWiper, ana önyükleme kaydı, ana dosya tablosu ve çeşitli sistem günlükleri de dahil olmak üzere kritik NTFS dosya sistemi eserlerini hedefler ve etkilenen sistemleri tamamen çalışmaz hale getiren kapsamlı veri tahribatını sağlar.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği