思科Talos报告显示,俄罗斯威胁组织近期针对乌克兰关键基础设施部署新型破坏性擦除器恶意软件PathWiper。该恶意软件通过滥用合法端点管理工具执行,破坏机制较2022年俄乌冲突初期使用的HermeticWiper更高效。
思科Talos最新报告显示,俄罗斯威胁组织再次使用破坏性恶意软件瞄准乌克兰关键基础设施。2022年1月至2月俄乌冲突爆发期间,攻击者曾协调部署WhisperGate、HermeticWiper、IsaacWiper及CaddyWiper等擦除器恶意软件;同年4月,Industroyer2被用于攻击工业控制系统。
随着俄罗斯在网络空间加剧活动,2023年12月乌克兰最大移动运营商Kyivstar的IT基础设施遭部分摧毁。最新事件中,乌克兰某关键基础设施实体成为新型擦除器PathWiper的攻击目标。
该恶意软件与HermeticWiper存在相似性——后者被归因于俄罗斯军事情报总局(GRU)关联的APT组织沙虫(亦被追踪为Seashell Blizzard、APT44、Iridium、TeleBots和Voodoo Bear),在2024年2月俄罗斯全面入侵乌克兰时被发现。Talos指出,两者均以主引导记录(MBR)和NTFS相关构件为破坏目标,但机制存在差异:PathWiper会扫描所有连接的驱动器与卷,识别卷标并记录有效数据;而HermeticWiper仅遍历0到100编号的物理驱动器。
攻击者利用合法端点管理框架执行恶意命令并部署PathWiper,其使用的文件名和操作均模仿该管理工具的控制台特征。Talos解释称:“管理工具控制台发出的指令会被终端客户端接收,并以批处理文件形式执行。其命令行部分与Impacket命令执行相似,但此类命令不一定表明环境中存在Impacket。”
PathWiper运行时尝试卸载卷,并用随机数据覆盖文件系统构件,每个驱动器和卷对应独立线程。目标构件包括MBR、MFT(主文件表)、MFTMirr(镜像文件)、LogFile(日志文件)、Boot(引导文件)、Bitmap(位图)、TxfLog(事务日志)、Tops(拓扑文件)及AttrDef(属性定义)。
2022年部分针对乌克兰的擦除器攻击被归因于GRU下属APT组织“Cadet Blizzard”,该组织成员已于去年被美国司法部起诉。研究人员警示:“擦除器恶意软件的持续演进,凸显俄乌战争长期化背景下乌克兰关键基础设施面临的威胁未减。”
转载请注明出处@安全威胁纵横,封面来源于网络;
消息来源:https://www.securityweek.com/destructive-pathwiper-targeting-ukraines-critical-infrastructure/
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):俄罗斯黑客部署新型 PathWiper 恶意软件,直击乌克兰关键基础设施
评论