PathWiper: új wiper egy ukrán kritikus infrastruktúra ellen
A Cisco Talos új megállapításai szerint egy ukrajnai kritikus infrastruktúra szervezetet vett célba a PathWiper nevű, korábban nem ismert wiper kártevő. A támadást egy legitim végpontfelügyeleti keretrendszeren keresztül hajtották végre, ami arra utal, hogy a támadók valószínűleg hozzáférhettek a rendszergazdai konzolhoz, amelyet aztán rosszindulatú parancsok kiadására és a PathWiper telepítésére használtak a csatlakoztatott végpontokon – áll a Cisco Talos elemzésében.
A megfigyelt tradecraft és az Ukrajna elleni támadásokban használt romboló kártevőkkel való átfedések alapján a támadást egy Oroszországhoz köthető APT szereplőhöz kötik.
A Talos szerint az adminisztrációs eszköz konzolja által kiadott parancsokat az áldozat végpontjain futó kliense fogadta, majd batch (BAT) fájlként végrehajtotta. A BAT-fájl viszont a Windows TEMP mappájában található „uacinstall.vbs” nevű, rosszindulatú Visual Basic Script (VBScript) fájl futtatására vonatkozó parancsból állt, amelyet szintén a rendszergazdai konzolon keresztül juttattak el a gépekre. A VBScript a „sha256sum.exe” néven ugyanabba a mappába dobta a wiper bináris állományát, és végrehajtotta azt.
A PathWiper futtatás után összegyűjti a csatlakoztatott tárolóeszközök listáját, beleértve a fizikai meghajtók nevét, a kötetek nevét és elérési útvonalait, valamint a hálózati meghajtók elérési útvonalait. A wiper ezután meghajtónként és kötetenként egy-egy thread-et hoz létre minden útvonalhoz, és véletlenszerűen generált bájtokkal felülírja az artifact-ok tartalmát. A wiper célpontjai: MBR, $MFT, $MFTMirr, $LogFile, $Boot, $Bitmap, $TxfLog, $Tops és $AttrDef. Ezenkívül a PathWiper visszavonhatatlanul megsemmisíti a lemezen lévő fájlokat, véletlenszerű bájtokkal felülírva azokat.
A PathWiper bizonyos fokú hasonlóságot mutat a HermeticWiperrel (más néven FoxBlade, KillDisk vagy NEARMISS), amelyet Oroszország 2024 februárjában, Ukrajna katonai inváziójával egy időben észleltek. A HermeticWiper malware-t az Oroszországhoz kötődő Sandworm (más néven Seashell Blizzard, APT44, IRIDIUM) csoportnak tulajdonítják.
A támadás során a használt fájlnevek és műveletek célja az volt, hogy utánozzák a rendszergazdai segédprogram konzolja által használtakat, ami arra utal, hogy a támadók előzetesen ismerték a konzolt és valószínűleg annak működését is az áldozat vállalat környezetében.
