عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج PathWiper الخبيث

برنامج PathWiper الخبيث

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

تم رصد سلالة جديدة من البرمجيات الخبيثة المدمرة، تُسمى PathWiper، في هجمات إلكترونية مُستهدفة للبنية التحتية الحيوية في أوكرانيا. هدفها الرئيسي واضح: تعطيل القدرات التشغيلية داخل البلاد وشلها.

النشر الخفي عبر أدوات شرعية

نشر المهاجمون حمولة PathWiper باستخدام أداة إدارة نقاط نهاية شرعية. تشير طريقة التوزيع هذه إلى أن الجهات الفاعلة في مجال التهديد قد حصلت بالفعل على وصول إداري إلى الأنظمة المستهدفة من خلال اختراق سابق، مما يُبرز مدى تعقيد وتخطيط الهجوم.

الإسناد: عودة خصم مألوف

عزا باحثو الأمن السيبراني الذين يحققون في الحادثة الهجوم، بثقة عالية، إلى تهديد مستمر متقدم (APT) مرتبط بروسيا. وتشبه التكتيكات والتقنيات والإجراءات (TTPs) التي رُصدت إلى حد كبير تلك التي تتبعها Sandworm، وهي جماعة تهديد معروفة كانت مسؤولة سابقًا عن نشر HermeticWiper في أوكرانيا.

PathWiper: خليفة محتمل لـ HermeticWiper

يتشابه PathWiper بشكل كبير مع HermeticWiper، مما يشير إلى أنه قد يكون تطورًا من ذلك البرنامج الخبيث السابق. يهدف كلاهما إلى إلحاق أقصى ضرر ممكن عن طريق إتلاف بيانات النظام المهمة، ويشير التداخل في السلوك إلى تورط مجموعات التهديدات نفسها أو مجموعات تهديدات وثيقة الصلة.

سلسلة هجوم متعددة المراحل

يتم تنفيذ البرامج الضارة من خلال عملية متعددة المراحل:

  • يؤدي ملف دفعة Windows إلى تشغيل VBScript ضار (uacinstall.vbs).
  • يقوم البرنامج النصي بإسقاط الحمولة الأساسية (sha256sum.exe) وتنفيذها، متخفيًا ليشبه أداة إدارية شرعية لتجنب الاكتشاف.

تعداد محركات الأقراص المتقدم وتخريب وحدة التخزين

بخلاف HermeticWiper، الذي ركّز على تعداد محركات الأقراص الفعلية، يتقدم PathWiper خطوةً أبعد من خلال تحديد جميع محركات الأقراص المتصلة برمجيًا، بما في ذلك وحدات التخزين المحلية والشبكية والمُفككة. ثم يستخدم واجهات برمجة تطبيقات Windows لفكّ هذه الوحدات استعدادًا للتخريب.

يقوم البرنامج الخبيث بإنشاء خيوط لكل وحدة تخزين لاستبدال هياكل NTFS الأساسية، مما يجعل الأنظمة غير قابلة للتشغيل بشكل فعال.

التدمير المستهدف لملفات النظام الأساسية

من بين مكونات النظام التي يفسدها PathWiper:

  • MBR (سجل التمهيد الرئيسي): يحتوي على أداة تحميل التشغيل وجدول الأقسام.
  • $MFT (جدول الملفات الرئيسي): يحافظ على فهرس جميع الملفات والدلائل.
  • $LogFile: يتتبع التغييرات المتعلقة بالسلامة والاسترداد.
  • $Boot: يخزن معلومات قطاع التمهيد ونظام الملفات.

بالإضافة إلى ذلك، يتم استبدال خمسة ملفات بيانات تعريفية أخرى بالغة الأهمية لنظام NTFS ببايتات عشوائية، مما يضمن بشكل أكبر عدم إمكانية استرداد الأنظمة المتأثرة.

لا فدية، لا مطالب - فقط الدمار

تجدر الإشارة إلى أن الهجمات التي استهدفت PathWiper لم تتضمن أي شكل من أشكال الابتزاز أو طلب فدية. ويؤكد هذا الغياب الهدف الرئيسي: تعطيل العمليات بالكامل، وليس الربح المالي.

المسّاحات: أداة متكررة في الحرب الهجينة

منذ اندلاع الحرب في أوكرانيا، أصبحت أدوات مسح البيانات سمةً مميزةً للعمليات السيبرانية الروسية. وقد استُخدمت هذه الأدوات في حملات متعددة، وكانت لها آثارٌ مدمرة. ومن بين أدوات مسح البيانات الأخرى البارزة المستخدمة في حملات الهجمات المكتشفة: CaddyWiper ، وHermeticWiper ، و IsaacWiper ، وAcidRain ، وغيرها.

وقد لعبت كل منها دوراً في استراتيجية أوسع نطاقاً لزعزعة استقرار البنية التحتية الأوكرانية من خلال الحرب الإلكترونية.

الاستنتاج: PathWiper يمثل تطورًا خطيرًا

يُجسّد PathWiper التصعيدَ المستمرّ في استخدام أدواتٍ سيبرانيةٍ مُدمّرةٍ ضدّ أوكرانيا. بفضل تقنياتِ التهرّبِ المُتطوّرة، والتخريبِ العميقِ على مستوى النظام، والاتّهامِ بهجماتٍ روسيّةٍ مُتطوّرةٍ معروفة، يُمثّلُ تهديدًا خطيرًا في مشهدِ الصراعِ السيبرانيّ الحديث.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
34,942
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...