بدافزار RoarBAT

بر اساس توصیه تازه منتشر شده توسط تیم واکنش اضطراری کامپیوتری دولت اوکراین (CERT-UA)، گروه هکر روسی "Sandworm" مظنون است که مسئول یک حمله سایبری است که شبکه های دولتی اوکراین را هدف قرار داده است. این حمله با بهره‌برداری از حساب‌های VPN به خطر افتاده که با احراز هویت چندعاملی ایمن نشده بودند، انجام شد و به هکرها اجازه داد به سیستم‌های حیاتی در داخل شبکه دسترسی پیدا کنند.

هنگامی که گروه Sandworm وارد دستگاه‌های مورد نظر شد، از تهدید ناشناخته RoarBAT برای حذف داده‌های دستگاه‌های دارای ویندوز و اسکریپت Bash در سیستم‌عامل‌های لینوکس استفاده کردند. این کار با استفاده از WinRar، یک برنامه آرشیو محبوب، برای پاک کردن فایل‌ها از دستگاه‌های آسیب‌دیده انجام شد. این حمله آسیب قابل توجهی به زیرساخت فناوری اطلاعات دولت اوکراین وارد کرد و اهمیت احراز هویت چند عاملی را به عنوان یک اقدام امنیتی حیاتی برای محافظت در برابر چنین حملاتی برجسته کرد.

RoarBAT از برنامه محبوب WinRAR Archive برای حذف داده ها سوء استفاده می کند

عوامل تهدید Sandworm از یک اسکریپت BAT به نام RoarBat در ویندوز استفاده می کنند. این اسکریپت از طریق دیسک‌ها و دایرکتوری‌های خاص دستگاه‌های نقض شده برای انواع فایل‌های متعدد، از جمله doc، df، png، docx، xls، xlsx، ppt، pptx، vsd، vsdx، rtf، txt، p jpeg، jpg، zip، rar اسکن می‌کند. , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, and date. سپس هر فایلی که با معیارهای تعیین شده مطابقت داشته باشد با استفاده از ابزار محبوب و قانونی بایگانی WinRAR بایگانی می شود.

با این حال، عوامل تهدید هنگام اجرای WinRAR از گزینه خط فرمان '-df' استفاده می کنند که منجر به حذف خودکار فایل ها در طول فرآیند بایگانی می شود. علاوه بر این، بایگانی‌ها پس از تکمیل حذف می‌شوند و عملاً منجر به پاک شدن دائمی داده‌های روی دستگاه قربانی می‌شوند. طبق CERT-UA، RoarBAT از طریق یک وظیفه برنامه ریزی شده اجرا می شود که به طور مرکزی از طریق خط مشی های گروهی در دستگاه های دامنه ویندوز توزیع می شود.

هکرها سیستم های لینوکس را نیز هدف قرار می دهند

مجرمان سایبری از یک اسکریپت Bash در سیستم های لینوکس استفاده کردند که از ابزار 'dd' برای جایگزینی محتویات انواع فایل های مورد نظر با صفر بایت استفاده می کرد و به طور موثر داده های آنها را پاک می کرد. بازیابی فایل‌های «خالی‌شده» توسط ابزار dd به دلیل این جایگزینی داده، اگر غیرممکن نباشد، بعید است.

استفاده از برنامه های قانونی مانند دستور 'dd' و WinRAR نشان می دهد که عاملان تهدید قصد داشتند از شناسایی توسط نرم افزارهای امنیتی فرار کنند.

شباهت با حملات قبلی علیه اهداف اوکراینی

به گزارش CERT-UA، حمله مخرب اخیر که توسط Sandworm انجام شد، شباهت های قابل توجهی با حمله دیگری دارد که در ژانویه 2023 به خبرگزاری دولتی اوکراین، "Ukrinform" رخ داد، که همچنین به همان عامل تهدید نسبت داده شد. اجرای طرح تهدیدآمیز، آدرس‌های IP استفاده شده توسط مهاجمان و استفاده از نسخه اصلاح شده RoarBAT همگی به شباهت بین این دو حمله سایبری اشاره می‌کنند.