RoarBAT Malware
Enligt färska råd som släppts av den ukrainska regeringens datornödteam (CERT-UA) misstänks den ryska hackergruppen 'Sandworm' vara ansvarig för en cyberattack som riktade sig mot ukrainska statliga nätverk. Attacken utfördes genom att utnyttja komprometterade VPN-konton som inte var säkrade med multifaktorautentisering, vilket gjorde att hackarna kunde få tillgång till kritiska system inom nätverken.
När Sandworm -gruppen fick inträde till de riktade enheterna använde de det tidigare okända hotet RoarBAT för att radera data på maskiner som kör Windows och ett Bash-skript på Linux-operativsystem. Detta åstadkoms genom att använda WinRar, ett populärt arkiveringsprogram, för att torka filer från de berörda enheterna. Attacken orsakade betydande skada på den ukrainska regeringens IT-infrastruktur, vilket understryker vikten av multifaktorautentisering som en kritisk säkerhetsåtgärd för att skydda mot sådana attacker.
Innehållsförteckning
RoarBAT utnyttjar den populära WinRAR Archive Application för att ta bort data
Aktörerna i Sandworm-hotet använder ett BAT-skript som heter "RoarBat" på Windows. Det här skriptet skannar igenom diskarna och specifika kataloger för de överträdda enheterna efter flera filtyper, inklusive doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin och date. Alla filer som matchar de angivna kriterierna arkiveras sedan med det populära och legitima WinRAR-arkiveringsverktyget.
Hotaktörerna utnyttjar dock kommandoradsalternativet '-df' när de kör WinRAR, vilket resulterar i automatisk radering av filer under arkiveringsprocessen. Dessutom tas själva arkiven bort när de är färdiga, vilket i praktiken leder till permanent radering av data på offrets enhet. Enligt CERT-UA exekveras RoarBAT genom en schemalagd uppgift som distribueras centralt till Windows-domänenheter via grupppolicyer.
Hackare riktar sig också mot Linux-system
Cyberbrottslingarna använde ett Bash-skript på Linux-system, som använde "dd"-verktyget för att ersätta innehållet i de riktade filtyperna med noll byte, vilket effektivt raderade deras data. Återställning av filer "tömda" av dd-verktyget är osannolikt, om inte omöjligt, på grund av denna dataersättning.
Användningen av legitima program som "dd"-kommandot och WinRAR tyder på att hotaktörerna syftade till att undvika upptäckt av säkerhetsprogramvara.
Likheter med tidigare attacker mot ukrainska mål
Enligt CERT-UA har den senaste destruktiva attacken som utfördes av Sandworm slående likheter med en annan attack som inträffade i januari 2023 på den ukrainska statliga nyhetsbyrån "Ukrinform", som också tillskrevs samma hotaktör. Implementeringen av den hotfulla planen, IP-adresserna som angriparna använder och användningen av en modifierad version av RoarBAT pekar alla mot likheten mellan de två cyberattackerna.
