PathWiper Malware

உக்ரைனில் உள்ள முக்கியமான உள்கட்டமைப்பை இலக்காகக் கொண்ட இலக்கு வைக்கப்பட்ட சைபர் தாக்குதல்களில், PathWiper எனப்படும் ஒரு புதிய வகை அழிவுகரமான தீம்பொருள் அடையாளம் காணப்பட்டுள்ளது. அதன் முதன்மை நோக்கம் தெளிவாக உள்ளது: நாட்டிற்குள் செயல்பாட்டு திறன்களை சீர்குலைத்து முடக்குவது.

சட்டபூர்வமான கருவிகள் மூலம் திருட்டுத்தனமான பயன்பாடு

தாக்குதல் நடத்தியவர்கள் முறையான எண்ட்பாயிண்ட் நிர்வாகக் கருவியைப் பயன்படுத்தி PathWiper பேலோடைப் பயன்படுத்தினர். இந்த டெலிவரி முறை, அச்சுறுத்தல் செய்பவர்கள் ஏற்கனவே ஒரு சமரசத்தின் மூலம் இலக்கு அமைப்புகளுக்கான நிர்வாக அணுகலை அடைந்துவிட்டதாகக் கூறுகிறது, இது தாக்குதலுக்குப் பின்னால் உள்ள நுட்பம் மற்றும் திட்டமிடலை எடுத்துக்காட்டுகிறது.

பண்புக்கூறு: ஒரு பழக்கமான எதிரி திரும்புகிறார்

இந்த சம்பவத்தை விசாரித்த சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், ரஷ்யாவுடன் தொடர்புடைய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) தான் இந்த தாக்குதலுக்குக் காரணம் என்று அதிக நம்பிக்கையுடன் தெரிவித்துள்ளனர். கவனிக்கப்பட்ட தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள் (TTPs) சாண்ட்வோர்மின் தந்திரோபாயங்களை ஒத்திருக்கின்றன, இது முன்னர் உக்ரைனில் ஹெர்மெடிக்வைப்பரைப் பயன்படுத்துவதற்குப் பொறுப்பான ஒரு அறியப்பட்ட அச்சுறுத்தல் குழுவாகும்.

பாத்வைப்பர்: ஹெர்மெடிக்வைப்பரின் வாரிசாக இருக்க வாய்ப்புள்ளது.

PathWiper, HermeticWiper உடன் குறிப்பிடத்தக்க ஒற்றுமைகளைப் பகிர்ந்து கொள்கிறது, இது முந்தைய தீம்பொருளின் பரிணாம வளர்ச்சியாக இருக்கலாம் என்று கூறுகிறது. இரண்டுமே முக்கியமான கணினித் தரவைச் சிதைப்பதன் மூலம் அதிகபட்ச சேதத்தை ஏற்படுத்துவதை நோக்கமாகக் கொண்டுள்ளன, மேலும் நடத்தையில் ஒன்றுடன் ஒன்று இருப்பது அதே அல்லது நெருங்கிய தொடர்புடைய அச்சுறுத்தல் கொத்துகளின் ஈடுபாட்டைக் குறிக்கிறது.

பல-நிலை தாக்குதல் சங்கிலி

தீம்பொருள் பல-நிலை செயல்முறை மூலம் செயல்படுகிறது:

• ஒரு விண்டோஸ் தொகுதி கோப்பு ஒரு தீங்கிழைக்கும் VBScript (uacinstall.vbs) ஐத் தூண்டுகிறது.
• ஸ்கிரிப்ட், கண்டறிதலைத் தவிர்ப்பதற்காக ஒரு முறையான நிர்வாகக் கருவியைப் போல மாறுவேடமிட்டு, கோர் பேலோடை (sha256sum.exe) கைவிட்டு செயல்படுத்துகிறது.

மேம்பட்ட டிரைவ் கணக்கீடு மற்றும் தொகுதி நாசவேலை

இயற்பியல் இயக்கிகளைக் கணக்கிடுவதில் கவனம் செலுத்திய HermeticWiper போலல்லாமல், PathWiper உள்ளூர், நெட்வொர்க் மற்றும் டிஸ்மவுண்ட் செய்யப்பட்ட தொகுதிகள் உட்பட அனைத்து இணைக்கப்பட்ட இயக்கிகளையும் நிரல் ரீதியாக அடையாளம் காண்பதன் மூலம் ஒரு படி மேலே செல்கிறது. பின்னர் அது நாசவேலைக்குத் தயாராக இந்த தொகுதிகளை டிஸ்மவுண்ட் செய்ய Windows APIகளைப் பயன்படுத்துகிறது.

மால்வேர் ஒவ்வொரு தொகுதிக்கும் த்ரெட்களை உருவாக்கி, அத்தியாவசிய NTFS கட்டமைப்புகளை மேலெழுதச் செய்து, அமைப்புகளை செயல்படாமல் செய்கிறது.

முக்கிய அமைப்பு கோப்புகளை குறிவைத்து அழித்தல்

PathWiper சிதைக்கும் கணினி கூறுகளில் பின்வருவன அடங்கும்:

• MBR (மாஸ்டர் பூட் ரெக்கார்ட்): துவக்க ஏற்றி மற்றும் பகிர்வு அட்டவணையைக் கொண்டுள்ளது.
• $MFT (மாஸ்டர் கோப்பு அட்டவணை): அனைத்து கோப்புகள் மற்றும் கோப்பகங்களின் குறியீட்டைப் பராமரிக்கிறது.
• $LogFile: ஒருமைப்பாடு மற்றும் மீட்டெடுப்பிற்கான மாற்றங்களைக் கண்காணிக்கிறது.
• $Boot: துவக்கப் பிரிவு மற்றும் கோப்பு முறைமை தகவல்களைச் சேமிக்கிறது.

கூடுதலாக, மற்ற ஐந்து முக்கியமான NTFS மெட்டாடேட்டா கோப்புகள் சீரற்ற பைட்டுகளால் மேலெழுதப்படுகின்றன, இது பாதிக்கப்பட்ட அமைப்புகளை மீட்டெடுக்க முடியாது என்பதை மேலும் உறுதி செய்கிறது.

மீட்கும் தொகை இல்லை, கோரிக்கைகள் இல்லை - அழிவு மட்டுமே

குறிப்பாக, PathWiper சம்பந்தப்பட்ட தாக்குதல்களில் எந்தவிதமான மிரட்டி பணம் பறித்தல் அல்லது மீட்கும் கோரிக்கையும் இல்லை. இந்த இல்லாமை முதன்மை நோக்கத்தை உறுதிப்படுத்துகிறது: நிதி ஆதாயத்தை விட, செயல்பாடுகளை முழுமையாக சீர்குலைப்பது.

வைப்பர்கள்: கலப்பினப் போரில் ஒரு தொடர்ச்சியான கருவி

உக்ரைனில் போர் தொடங்கியதிலிருந்து, தரவு வைப்பர்கள் ரஷ்ய சைபர் நடவடிக்கைகளின் ஒரு அடையாளமாக மாறிவிட்டன. இந்த கருவிகள் பல பிரச்சாரங்களில் பேரழிவு விளைவைக் கொண்டு பயன்படுத்தப்பட்டுள்ளன. கண்டறியப்பட்ட தாக்குதல் பிரச்சாரங்களில் பயன்படுத்தப்படும் பிற குறிப்பிடத்தக்க வைப்பர்கள் பின்வருமாறு: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain மற்றும் பல.

இவை ஒவ்வொன்றும் சைபர் போர் மூலம் உக்ரேனிய உள்கட்டமைப்பை சீர்குலைக்கும் ஒரு பரந்த உத்தியில் பங்கு வகித்துள்ளன.

முடிவு: பாத்வைப்பர் ஒரு ஆபத்தான பரிணாம வளர்ச்சியைக் குறிக்கிறது.

உக்ரைனுக்கு எதிராகப் பயன்படுத்தப்படும் அழிவுகரமான சைபர் கருவிகளில் தொடர்ச்சியான அதிகரிப்பை PathWiper எடுத்துக்காட்டுகிறது. மேம்பட்ட ஏய்ப்பு நுட்பங்கள், ஆழமான அமைப்பு-நிலை நாசவேலை மற்றும் அறியப்பட்ட ரஷ்ய APT களை சுட்டிக்காட்டும் பண்புக்கூறு ஆகியவற்றுடன், இது நவீன சைபர் மோதலின் நிலப்பரப்பில் ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலைக் குறிக்கிறது.