RoarBAT Malware
Menurut nasihat baharu yang dikeluarkan oleh Pasukan Tindak Balas Kecemasan Komputer Kerajaan Ukraine (CERT-UA), kumpulan penggodam Rusia 'Sandworm' disyaki bertanggungjawab terhadap serangan siber yang menyasarkan rangkaian negara Ukraine. Serangan itu dilakukan dengan mengeksploitasi akaun VPN yang terjejas yang tidak dijamin dengan pengesahan berbilang faktor, membolehkan penggodam mendapat akses kepada sistem kritikal dalam rangkaian.
Setelah kumpulan Sandworm mendapat kemasukan ke peranti yang disasarkan, mereka menggunakan ancaman RoarBAT yang tidak diketahui sebelum ini untuk memadam data pada mesin yang menjalankan Windows dan skrip Bash pada sistem pengendalian Linux. Ini dicapai dengan menggunakan WinRar, program pengarkiban yang popular, untuk memadam fail daripada peranti yang terjejas. Serangan itu menyebabkan kerosakan besar pada infrastruktur IT kerajaan Ukraine, menonjolkan kepentingan pengesahan pelbagai faktor sebagai langkah keselamatan kritikal untuk melindungi daripada serangan sedemikian.
Isi kandungan
RoarBAT Mengeksploitasi Aplikasi Arkib WinRAR yang Popular untuk Memadam Data
Pelakon ancaman Sandworm menggunakan skrip BAT yang dipanggil 'RoarBat' pada Windows. Skrip ini mengimbas melalui cakera dan direktori khusus peranti yang dilanggar untuk pelbagai jenis fail, termasuk doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin dan tarikh. Mana-mana fail yang sepadan dengan kriteria yang ditetapkan kemudiannya diarkibkan menggunakan alat arkib WinRAR yang popular dan sah.
Walau bagaimanapun, pelaku ancaman memanfaatkan pilihan baris arahan '-df' apabila melaksanakan WinRAR, mengakibatkan pemadaman automatik fail semasa proses pengarkiban. Lebih-lebih lagi, arkib itu sendiri dialih keluar setelah siap, dengan berkesan membawa kepada pemadaman kekal data pada peranti mangsa. Menurut CERT-UA, RoarBAT dilaksanakan melalui tugas berjadual yang diedarkan secara berpusat kepada peranti domain Windows melalui dasar kumpulan.
Penggodam Menyasarkan Sistem Linux Juga
Penjenayah siber menggunakan skrip Bash pada sistem Linux, yang menggunakan utiliti 'dd' untuk menggantikan kandungan jenis fail yang disasarkan dengan sifar bait, dengan berkesan memadamkan data mereka. Pemulihan fail yang 'dikosongkan' oleh alat dd tidak mungkin, jika tidak mustahil, disebabkan oleh penggantian data ini.
Penggunaan program yang sah seperti arahan 'dd' dan WinRAR menunjukkan bahawa pelaku ancaman bertujuan untuk mengelak pengesanan oleh perisian keselamatan.
Persamaan dengan Serangan Terdahulu terhadap Sasaran Ukraine
Menurut CERT-UA, serangan pemusnah yang dilakukan oleh Sandworm baru-baru ini mempunyai persamaan yang ketara dengan serangan lain yang berlaku pada Januari 2023 ke atas agensi berita negara Ukraine, 'Ukrinform,' yang juga dikaitkan dengan pelakon ancaman yang sama. Pelaksanaan rancangan mengancam, alamat IP yang digunakan oleh penyerang, dan penggunaan versi RoarBAT yang diubah suai semuanya menunjukkan persamaan antara dua serangan siber.
