与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER.............

与俄罗斯有关的Sandworm威胁行动者使用新的Industroyer  ICS 恶意软件 (INDUSTROYER2) 和新版本的CaddyWiper Wiper 攻击乌克兰的能源设施。

根据 CERT-UA 的说法，民族国家行为者使用 INDUSTROYER2 将高压变电站作为目标，研究人员分析的变体针对各自的变电站进行了定制。

攻击者还使用 CADDYWIPER 擦除器来攻击基于 Windows 的系统，同时攻击运行具有 ORCSHRED、SOLOSHRED、AWFULSHRED 破坏性脚本的 Linux 操作系统的服务器设备。

“CADDYWIPER 的集中分发和发布是通过组策略机制 (GPO) 实现的。POWERGAP PowerShell 脚本用于添加从域控制器下载文件析构函数组件并在计算机上创建计划任务的组策略。” 阅读乌克兰 CERT 发布的公告。“通过创建 SSH 隧道链提供了在局域网段之间水平移动的能力。IMPACKET 用于远程执行命令。”

CERT-UA 指出，APT 组织至少对能源设施发动了两波攻击。最初的妥协发生在 2022 年 2 月之前。有趣的是，变电站的断开和公司基础设施的退役计划于 2022 年 4 月 8 日星期五晚上进行。 

好消息是，政府专家在网络安全公司 ESET 和微软的帮助下检测并消除了这些攻击。

CERT-UA 收集了这些攻击的危害指标，并与有限数量的国际合作伙伴和乌克兰能源公司分享了这些指标以及 Yara 规则。