قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار PathWiper

بدافزار PathWiper

تا Mezo در بدافزار
ترجمه به:

گونه جدیدی از بدافزار مخرب به نام PathWiper در حملات سایبری هدفمند علیه زیرساخت‌های حیاتی در اوکراین شناسایی شده است. هدف اصلی آن واضح است: مختل کردن و فلج کردن قابلیت‌های عملیاتی در داخل کشور.

استقرار مخفیانه از طریق ابزارهای قانونی

مهاجمان با استفاده از یک ابزار مدیریت نقاط پایانی قانونی، بدافزار PathWiper را مستقر کردند. این روش انتقال نشان می‌دهد که مهاجمان از طریق یک نفوذ قبلی، به سیستم‌های هدف دسترسی مدیریتی داشته‌اند که نشان‌دهنده‌ی پیچیدگی و برنامه‌ریزی پشت این حمله است.

انتساب: بازگشت یک دشمن آشنا

محققان امنیت سایبری که این حادثه را بررسی می‌کنند، این حمله را با اطمینان بالا به یک تهدید پیشرفته مداوم (APT) مرتبط با روسیه نسبت داده‌اند. تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مشاهده شده بسیار شبیه به Sandworm است، یک گروه تهدید شناخته شده که قبلاً مسئول استقرار HermeticWiper در اوکراین بود.

PathWiper: جانشین احتمالی HermeticWiper

PathWiper شباهت‌های قابل توجهی با HermeticWiper دارد و این نشان می‌دهد که ممکن است تکامل یافته‌ی آن بدافزار قبلی باشد. هر دو با هدف آسیب رساندن حداکثری به داده‌های حیاتی سیستم، اقدام به آلوده کردن آنها می‌کنند و همپوشانی رفتار آنها نشان دهنده‌ی دخالت خوشه‌های تهدید یکسان یا نزدیک به هم است.

زنجیره حمله چند مرحله‌ای

این بدافزار از طریق یک فرآیند چند مرحله‌ای اجرا می‌شود:

  • یک فایل دسته‌ای ویندوز، یک VBScript مخرب (uacinstall.vbs) را اجرا می‌کند.
  • این اسکریپت، پیلود اصلی (sha256sum.exe) را اجرا می‌کند و خود را به گونه‌ای تغییر می‌دهد که شبیه یک ابزار مدیریتی قانونی باشد تا از شناسایی شدن جلوگیری کند.

شمارش پیشرفته درایو و خرابکاری در حجم

برخلاف HermeticWiper که بر شمارش درایوهای فیزیکی تمرکز داشت، PathWiper با شناسایی برنامه‌نویسی‌شده‌ی تمام درایوهای متصل، شامل درایوهای محلی، شبکه‌ای و درایوهای از کار افتاده، یک قدم فراتر می‌رود. سپس با استفاده از APIهای ویندوز، این درایوها را از کار می‌اندازد تا برای خرابکاری آماده شود.

این بدافزار برای هر درایو، رشته‌هایی (threads) ایجاد می‌کند تا ساختارهای ضروری NTFS را بازنویسی کند و عملاً سیستم‌ها را از کار بیندازد.

تخریب هدفمند فایل‌های اصلی سیستم

از جمله اجزای سیستم که PathWiper به آنها آسیب می‌رساند عبارتند از:

  • MBR (مخفف Master Boot Record): شامل بوت لودر و جدول پارتیشن است.
  • ‎$MFT (جدول اصلی فایل): فهرست تمام فایل‌ها و دایرکتوری‌ها را نگهداری می‌کند.
  • $LogFile: تغییرات را برای یکپارچگی و بازیابی پیگیری می‌کند.
  • ‎$Boot: اطلاعات سکتور بوت و سیستم فایل را ذخیره می‌کند.

علاوه بر این، پنج فایل ابرداده حیاتی دیگر NTFS با بایت‌های تصادفی رونویسی می‌شوند که تضمین می‌کند سیستم‌های آسیب‌دیده قابل بازیابی نباشند.

نه باج، نه مطالبه - فقط نابودی

نکته قابل توجه این است که حملات مربوط به PathWiper هیچ نوع اخاذی یا درخواست باج را شامل نمی‌شود. این فقدان، هدف اصلی را تأیید می‌کند: اختلال کامل در عملیات، نه سود مالی.

وایپرها: ابزاری تکرارشونده در جنگ هیبریدی

از زمان شروع جنگ در اوکراین، ابزارهای پاک‌کننده داده‌ها به مشخصه عملیات سایبری روسیه تبدیل شده‌اند. این ابزارها در چندین کمپین با اثرات مخرب به کار گرفته شده‌اند. سایر ابزارهای پاک‌کننده قابل توجه مورد استفاده در کمپین‌های حمله شناسایی شده عبارتند از: CaddyWiper ، HermeticWiper ، IsaacWiper ، AcidRain و موارد دیگر.

هر یک از این موارد در استراتژی گسترده‌تر بی‌ثبات کردن زیرساخت‌های اوکراین از طریق جنگ سایبری نقش داشته‌اند.

نتیجه‌گیری: PathWiper یک تکامل خطرناک را نشان می‌دهد

PathWiper نمونه‌ای از تشدید مداوم ابزارهای سایبری مخرب مورد استفاده علیه اوکراین است. با تکنیک‌های پیشرفته فرار، خرابکاری عمیق در سطح سیستم و انتساب آن به APT های شناخته شده روسی، این بدافزار تهدیدی قابل توجه در چشم‌انداز درگیری‌های سایبری مدرن محسوب می‌شود.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
34,942
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...