黑客借助 WinRAR 擦除乌克兰国家机构的数据

在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。

一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。

在 Windows 上，Sandworm 使用的 BAT 脚本是“RoarBat”，它会在磁盘和特定目录中搜索文件类型，例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat，并使用 WinRAR 程序将它们归档。

RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA)

但是，当执行 WinRAR 时，攻击者会使用“-df”命令行选项，该选项会在文件存档时自动删除它们。当档案本身被删除，实际上删除了设备上的数据。

CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。

定时任务集运行BAT脚本 （CERT-UA）

在 Linux 系统上，攻击者使用 Bash 脚本代替，该脚本使用“dd”实用程序用零字节覆盖目标文件类型，擦除其内容。由于这种数据替换，即使不是完全不可能，也不太可能使用 dd 工具恢复“清空”的文件。

由于“dd”命令和 WinRAR 都是合法程序，威胁行为者可能使用它们来绕过安全软件的检测。

CERT-UA 表示，该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击，同样归因于 Sandworm。

“恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性，有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。

CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。

在这样的情况下，允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。