与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............

admin 2022年4月13日12:52:37评论84 views字数 684阅读2分16秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

与俄罗斯有关的Sandworm威胁行动者使用新的Industroyer  ICS 恶意软件 (INDUSTROYER2) 和新版本的CaddyWiper Wiper 攻击乌克兰的能源设施。


根据 CERT-UA 的说法,民族国家行为者使用 INDUSTROYER2 将高压变电站作为目标,研究人员分析的变体针对各自的变电站进行了定制。


攻击者还使用 CADDYWIPER 擦除器来攻击基于 Windows 的系统,同时攻击运行具有 ORCSHRED、SOLOSHRED、AWFULSHRED 破坏性脚本的 Linux 操作系统的服务器设备。

“CADDYWIPER 的集中分发和发布是通过组策略机制 (GPO) 实现的。POWERGAP PowerShell 脚本用于添加从域控制器下载文件析构函数组件并在计算机上创建计划任务的组策略。” 阅读乌克兰 CERT 发布的公告。“通过创建 SSH 隧道链提供了在局域网段之间水平移动的能力。IMPACKET 用于远程执行命令。”

CERT-UA 指出,APT 组织至少对能源设施发动了两波攻击。最初的妥协发生在 2022 年 2 月之前。有趣的是,变电站的断开和公司基础设施的退役计划于 2022 年 4 月 8 日星期五晚上进行。 


好消息是,政府专家在网络安全公司 ESET 和微软的帮助下检测并消除了这些攻击。


CERT-UA 收集了这些攻击的危害指标,并与有限数量的国际合作伙伴和乌克兰能源公司分享了这些指标以及 Yara 规则。

与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............

与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............


与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............

原文始发于微信公众号(Ots安全):与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日12:52:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............http://cn-sec.com/archives/905794.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息