بدافزار RoarBAT
بر اساس توصیه تازه منتشر شده توسط تیم واکنش اضطراری کامپیوتری دولت اوکراین (CERT-UA)، گروه هکر روسی "Sandworm" مظنون است که مسئول یک حمله سایبری است که شبکه های دولتی اوکراین را هدف قرار داده است. این حمله با بهرهبرداری از حسابهای VPN به خطر افتاده که با احراز هویت چندعاملی ایمن نشده بودند، انجام شد و به هکرها اجازه داد به سیستمهای حیاتی در داخل شبکه دسترسی پیدا کنند.
هنگامی که گروه Sandworm وارد دستگاههای مورد نظر شد، از تهدید ناشناخته RoarBAT برای حذف دادههای دستگاههای دارای ویندوز و اسکریپت Bash در سیستمعاملهای لینوکس استفاده کردند. این کار با استفاده از WinRar، یک برنامه آرشیو محبوب، برای پاک کردن فایلها از دستگاههای آسیبدیده انجام شد. این حمله آسیب قابل توجهی به زیرساخت فناوری اطلاعات دولت اوکراین وارد کرد و اهمیت احراز هویت چند عاملی را به عنوان یک اقدام امنیتی حیاتی برای محافظت در برابر چنین حملاتی برجسته کرد.
فهرست مطالب
RoarBAT از برنامه محبوب WinRAR Archive برای حذف داده ها سوء استفاده می کند
عوامل تهدید Sandworm از یک اسکریپت BAT به نام RoarBat در ویندوز استفاده می کنند. این اسکریپت از طریق دیسکها و دایرکتوریهای خاص دستگاههای نقض شده برای انواع فایلهای متعدد، از جمله doc، df، png، docx، xls، xlsx، ppt، pptx، vsd، vsdx، rtf، txt، p jpeg، jpg، zip، rar اسکن میکند. , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, and date. سپس هر فایلی که با معیارهای تعیین شده مطابقت داشته باشد با استفاده از ابزار محبوب و قانونی بایگانی WinRAR بایگانی می شود.
با این حال، عوامل تهدید هنگام اجرای WinRAR از گزینه خط فرمان '-df' استفاده می کنند که منجر به حذف خودکار فایل ها در طول فرآیند بایگانی می شود. علاوه بر این، بایگانیها پس از تکمیل حذف میشوند و عملاً منجر به پاک شدن دائمی دادههای روی دستگاه قربانی میشوند. طبق CERT-UA، RoarBAT از طریق یک وظیفه برنامه ریزی شده اجرا می شود که به طور مرکزی از طریق خط مشی های گروهی در دستگاه های دامنه ویندوز توزیع می شود.
هکرها سیستم های لینوکس را نیز هدف قرار می دهند
مجرمان سایبری از یک اسکریپت Bash در سیستم های لینوکس استفاده کردند که از ابزار 'dd' برای جایگزینی محتویات انواع فایل های مورد نظر با صفر بایت استفاده می کرد و به طور موثر داده های آنها را پاک می کرد. بازیابی فایلهای «خالیشده» توسط ابزار dd به دلیل این جایگزینی داده، اگر غیرممکن نباشد، بعید است.
استفاده از برنامه های قانونی مانند دستور 'dd' و WinRAR نشان می دهد که عاملان تهدید قصد داشتند از شناسایی توسط نرم افزارهای امنیتی فرار کنند.
شباهت با حملات قبلی علیه اهداف اوکراینی
به گزارش CERT-UA، حمله مخرب اخیر که توسط Sandworm انجام شد، شباهت های قابل توجهی با حمله دیگری دارد که در ژانویه 2023 به خبرگزاری دولتی اوکراین، "Ukrinform" رخ داد، که همچنین به همان عامل تهدید نسبت داده شد. اجرای طرح تهدیدآمیز، آدرسهای IP استفاده شده توسط مهاجمان و استفاده از نسخه اصلاح شده RoarBAT همگی به شباهت بین این دو حمله سایبری اشاره میکنند.