俄罗斯APT发布更为致命的AcidRain擦除恶意软件新变种

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

摘要：研究人员发现了俄罗斯军方情报机构在2022年2月入侵乌克兰之前用于破坏卫星宽带服务的擦除恶意软件的更危险和更普遍的版本。这个新变种称为“AcidPour”，与其前身有多个相似之处，但是编译为X86架构，而不是针对MIPS架构的系统，因此可以攻击更广泛的目标，包括Linux UBI和DM逻辑。

正文：

研究人员发现了俄罗斯军方情报机构在2022年2月入侵乌克兰之前用于破坏卫星宽带服务的擦除恶意软件的更危险和更普遍的版本。这个新变种称为“AcidPour”，与其前身有多个相似之处，但是编译为X86架构，而不是针对MIPS架构的系统，因此可以攻击更广泛的目标，包括Linux UBI和DM逻辑，从而影响到手持设备、物联网设备、网络设备，或者在某些情况下影响到工控系统设备。SentinelOne的研究人员发现，AcidPour的另一个新功能是自删除功能，可以清除感染系统上的所有恶意软件痕迹。相比之下，AcidRain则使用了过多的进程分叉和某些操作的不必要重复，因此在整体上较为粗糙。虽然SentinelOne在2022年2月发现了AcidRain，但直到3月16日才首次发现了这个新变种AcidPour，目前还没有观察到有人在实际攻击中使用它。

根据SentinelOne的初步分析，AcidPour与AcidRain有多个相似之处，包括相同的重启机制和递归目录擦除逻辑。此外，SentinelOne还发现AcidPour的IOCTL（输入/输出控制）擦除机制与AcidRain和VPNFilter中的擦除机制相同，VPNFilter是美国司法部与Sandworm相关联的模块化攻击平台。AcidPour的编码风格与CaddyWiper和Industroyer 2相似，这两个恶意软件曾被俄罗斯支持的国家组织用于对乌克兰组织进行破坏性攻击。

AcidPour和AcidRain是俄罗斯行动人员近年来针对乌克兰目标部署的众多擦除软件之一，尤其是在两国当前战争爆发之后。尽管威胁行为者在Viasat攻击中成功让数千个调制解调器离线，但该公司成功地在清除了恶意软件后将其恢复和重新部署。然而，在许多其他情况下，组织被迫在擦除软件攻击后丢弃系统。与Shamoon和AcidRain一样，威胁行为者通常不需要使擦除软件变得复杂才能达到效果。这是因为该恶意软件的唯一功能是覆盖或删除系统中的数据，并使其无法使用，因此与数据窃取和网络间谍活动攻击相关的规避策略和混淆技术并不是必要的。对付擦除软件的最佳防御或者减少其造成的损害的方法与应对勒索软件的防御措施相同。这意味着要为关键数据建立备份，并确保有强大的事件响应计划和能力。网络分段也是关键，因为擦除软件在能够传播到其他系统时更加有效，因此这种防御姿态有助于阻止横向移动。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT发布更为致命的AcidRain擦除恶意软件新变种