Вредоносное ПО PathWiper
Новый штамм вредоносного ПО, получивший название PathWiper, был обнаружен в целевых кибератаках, направленных на критическую инфраструктуру в Украине. Его главная цель ясна: нарушить и парализовать операционные возможности внутри страны.
Оглавление
Скрытое развертывание с помощью легитимных инструментов
Атакующие развернули полезную нагрузку PathWiper, используя законный инструмент администрирования конечной точки. Этот метод доставки предполагает, что субъекты угрозы уже получили административный доступ к целевым системам посредством предварительной компрометации, что подчеркивает сложность и планирование атаки.
Атрибуция: Возвращение знакомого противника
Исследователи кибербезопасности, расследующие инцидент, с высокой степенью уверенности отнесли атаку к связанной с Россией передовой постоянной угрозе (APT). Наблюдаемые тактика, методы и процедуры (TTP) очень напоминают тактику, методы и процедуры Sandworm, известной группы угроз, ранее ответственной за развертывание HermeticWiper на Украине.
PathWiper: Вероятный преемник HermeticWiper
PathWiper имеет значительные сходства с HermeticWiper, что позволяет предположить, что это может быть эволюцией более раннего вредоносного ПО. Оба нацелены на нанесение максимального ущерба путем порчи критически важных системных данных, а совпадение в поведении подразумевает участие одних и тех же или тесно связанных кластеров угроз.
Многоступенчатая цепочка атак
Вредоносная программа выполняется посредством многоэтапного процесса:
- Пакетный файл Windows запускает вредоносный VBScript (uacinstall.vbs).
- Скрипт сбрасывает и запускает основную полезную нагрузку (sha256sum.exe), замаскированную под легитимный административный инструмент, чтобы избежать обнаружения.
Расширенный перечень дисков и саботаж томов
В отличие от HermeticWiper, который был сосредоточен на перечислении физических дисков, PathWiper идет на шаг дальше, программно идентифицируя все подключенные диски, включая локальные, сетевые и размонтированные тома. Затем он использует API Windows для размонтирования этих томов в рамках подготовки к саботажу.
Вредоносная программа создает потоки для каждого тома, чтобы перезаписать важные структуры NTFS, фактически выводя системы из строя.
Целенаправленное уничтожение основных системных файлов
Среди системных компонентов, которые повреждает PathWiper, есть:
- MBR (главная загрузочная запись): содержит загрузчик и таблицу разделов.
- $MFT (главная таблица файлов): поддерживает индекс всех файлов и каталогов.
- $LogFile: отслеживает изменения для обеспечения целостности и восстановления.
- $Boot: хранит информацию о загрузочном секторе и файловой системе.
Кроме того, пять других критических файлов метаданных NTFS перезаписываются случайными байтами, что еще больше гарантирует невозможность восстановления затронутых систем.
Никакого выкупа, никаких требований — только уничтожение
Примечательно, что атаки с участием PathWiper не включают в себя какую-либо форму вымогательства или требования выкупа. Это отсутствие подтверждает основную цель: полное нарушение работы, а не финансовая выгода.
Дворники: Постоянный инструмент в гибридной войне
С начала войны в Украине вайперы данных стали отличительной чертой российских киберопераций. Эти инструменты были развернуты в нескольких кампаниях с разрушительным эффектом. Другие известные вайперы, использованные в кампаниях по обнаруженным атакам, включают: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain и другие.
Каждый из них сыграл свою роль в более широкой стратегии дестабилизации украинской инфраструктуры посредством кибервойны.
Заключение: PathWiper знаменует собой опасную эволюцию
PathWiper является примером продолжающейся эскалации разрушительных киберинструментов, используемых против Украины. С передовыми методами уклонения, глубоким саботажем на системном уровне и атрибуцией, указывающей на известные российские APT, он представляет собой значительную угрозу в ландшафте современного киберконфликта.
