PathWiper Malware

ఉక్రెయిన్‌లోని కీలకమైన మౌలిక సదుపాయాలను లక్ష్యంగా చేసుకుని లక్ష్యంగా చేసుకున్న సైబర్ దాడులలో పాత్‌వైపర్ అని పిలువబడే కొత్త విధ్వంసక మాల్వేర్ జాతి గుర్తించబడింది. దీని ప్రాథమిక లక్ష్యం స్పష్టంగా ఉంది: దేశంలోని కార్యాచరణ సామర్థ్యాలను అంతరాయం కలిగించడం మరియు నిర్వీర్యం చేయడం.

చట్టబద్ధమైన సాధనాల ద్వారా రహస్య విస్తరణ

దాడి చేసేవారు చట్టబద్ధమైన ఎండ్‌పాయింట్ అడ్మినిస్ట్రేషన్ సాధనాన్ని ఉపయోగించి పాత్‌వైపర్ పేలోడ్‌ను మోహరించారు. ఈ డెలివరీ పద్ధతి ప్రకారం, ముప్పు కలిగించే వ్యక్తులు ముందస్తు రాజీ ద్వారా లక్ష్యంగా చేసుకున్న వ్యవస్థలకు పరిపాలనా ప్రాప్యతను సాధించారని, దాడి వెనుక ఉన్న అధునాతనత మరియు ప్రణాళికను హైలైట్ చేస్తుందని సూచిస్తుంది.

లక్షణం: ఎ ఫెమిలియర్ అవర్సరీ రిటర్న్స్

ఈ సంఘటనను దర్యాప్తు చేస్తున్న సైబర్ భద్రతా పరిశోధకులు ఈ దాడికి రష్యాతో అనుసంధానించబడిన అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) కారణమని అధిక విశ్వాసంతో పేర్కొన్నారు. గమనించిన వ్యూహాలు, పద్ధతులు మరియు విధానాలు (TTPలు) గతంలో ఉక్రెయిన్‌లో హెర్మెటిక్ వైపర్‌ను మోహరించడానికి బాధ్యత వహించిన తెలిసిన బెదిరింపు సమూహం అయిన శాండ్‌వార్మ్‌ను పోలి ఉంటాయి.

పాత్‌వైపర్: హెర్మెటిక్‌వైపర్‌కు వారసుడిగా మారే అవకాశం ఉంది.

PathWiper మరియు HermeticWiper మధ్య గణనీయమైన సారూప్యతలు ఉన్నాయి, ఇది మునుపటి మాల్వేర్ యొక్క పరిణామం కావచ్చునని సూచిస్తుంది. రెండూ కీలకమైన సిస్టమ్ డేటాను పాడు చేయడం ద్వారా గరిష్ట నష్టాన్ని కలిగించడమే లక్ష్యంగా పెట్టుకున్నాయి మరియు ప్రవర్తనలో అతివ్యాప్తి ఒకే లేదా దగ్గరి సంబంధం ఉన్న ముప్పు సమూహాల ప్రమేయాన్ని సూచిస్తుంది.

బహుళ-దశల దాడి గొలుసు

మాల్వేర్ బహుళ-దశల ప్రక్రియ ద్వారా అమలు అవుతుంది:

• ఒక Windows బ్యాచ్ ఫైల్ ఒక హానికరమైన VBScript (uacinstall.vbs) ను ట్రిగ్గర్ చేస్తుంది.
• స్క్రిప్ట్ కోర్ పేలోడ్ (sha256sum.exe)ని డ్రాప్ చేసి అమలు చేస్తుంది, ఇది గుర్తింపును తప్పించుకోవడానికి చట్టబద్ధమైన అడ్మినిస్ట్రేటివ్ సాధనాన్ని పోలి ఉండేలా మారువేషంలో ఉంటుంది.

అధునాతన డ్రైవ్ గణన మరియు వాల్యూమ్ సాబోటేజ్

భౌతిక డ్రైవ్‌లను లెక్కించడంపై దృష్టి సారించిన హెర్మెటిక్‌వైపర్ మాదిరిగా కాకుండా, పాత్‌వైపర్ లోకల్, నెట్‌వర్క్ మరియు డిస్‌మౌంటెడ్ వాల్యూమ్‌లతో సహా అన్ని కనెక్ట్ చేయబడిన డ్రైవ్‌లను ప్రోగ్రామాటిక్‌గా గుర్తించడం ద్వారా ఒక అడుగు ముందుకు వేస్తుంది. తరువాత ఇది విధ్వంసానికి సన్నాహకంగా ఈ వాల్యూమ్‌లను డిస్‌మౌంట్ చేయడానికి విండోస్ API లను ఉపయోగిస్తుంది.

ఈ మాల్వేర్ ప్రతి వాల్యూమ్‌కు థ్రెడ్‌లను ఉత్పత్తి చేసి, అవసరమైన NTFS నిర్మాణాలను ఓవర్‌రైట్ చేస్తుంది, ఇది వ్యవస్థలను సమర్థవంతంగా పనిచేయకుండా చేస్తుంది.

కోర్ సిస్టమ్ ఫైల్స్ యొక్క లక్ష్య విధ్వంసం

PathWiper అవినీతికి పాల్పడే సిస్టమ్ భాగాలలో ఇవి ఉన్నాయి:

• MBR (మాస్టర్ బూట్ రికార్డ్): బూట్‌లోడర్ మరియు విభజన పట్టికను కలిగి ఉంటుంది.
• $MFT (మాస్టర్ ఫైల్ టేబుల్): అన్ని ఫైల్స్ మరియు డైరెక్టరీల సూచికను నిర్వహిస్తుంది.
• $LogFile: సమగ్రత మరియు పునరుద్ధరణ కోసం మార్పులను ట్రాక్ చేస్తుంది.
• $Boot: బూట్ సెక్టార్ మరియు ఫైల్ సిస్టమ్ సమాచారాన్ని నిల్వ చేస్తుంది.

అదనంగా, మరో ఐదు కీలకమైన NTFS మెటాడేటా ఫైల్‌లు యాదృచ్ఛిక బైట్‌లతో ఓవర్‌రైట్ చేయబడతాయి, ప్రభావిత వ్యవస్థలను తిరిగి పొందలేమని మరింత నిర్ధారిస్తుంది.

విమోచన లేదు, డిమాండ్లు లేవు - విధ్వంసం మాత్రమే

ముఖ్యంగా, పాత్‌వైపర్‌కు సంబంధించిన దాడుల్లో ఎలాంటి దోపిడీ లేదా విమోచన డిమాండ్ ఉండదు. ఈ లేకపోవడం ప్రాథమిక లక్ష్యాన్ని నిర్ధారిస్తుంది: ఆర్థిక లాభం కంటే కార్యకలాపాల పూర్తి అంతరాయం.

వైపర్స్: హైబ్రిడ్ వార్‌ఫేర్‌లో పునరావృతమయ్యే సాధనం

ఉక్రెయిన్‌లో యుద్ధం ప్రారంభమైనప్పటి నుండి, డేటా వైపర్‌లు రష్యన్ సైబర్ కార్యకలాపాలకు ఒక ముఖ్య లక్షణంగా మారాయి. ఈ సాధనాలు వినాశకరమైన ప్రభావంతో బహుళ ప్రచారాలలో ఉపయోగించబడ్డాయి. గుర్తించబడిన దాడి ప్రచారాలలో ఉపయోగించే ఇతర ముఖ్యమైన వైపర్‌లు: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain మరియు మరిన్ని.

సైబర్‌వార్‌ఫేర్ ద్వారా ఉక్రేనియన్ మౌలిక సదుపాయాలను అస్థిరపరిచే విస్తృత వ్యూహంలో వీటిలో ప్రతి ఒక్కటి పాత్ర పోషించాయి.

ముగింపు: పాత్‌వైపర్ ప్రమాదకరమైన పరిణామాన్ని సూచిస్తుంది

ఉక్రెయిన్‌కు వ్యతిరేకంగా ఉపయోగించే విధ్వంసక సైబర్ సాధనాల్లో కొనసాగుతున్న పెరుగుదలకు పాత్‌వైపర్ ఉదాహరణ. అధునాతన ఎగవేత పద్ధతులు, లోతైన వ్యవస్థ-స్థాయి విధ్వంసం మరియు తెలిసిన రష్యన్ APT లను సూచించే లక్షణాలతో, ఇది ఆధునిక సైబర్ సంఘర్షణ ప్రకృతి దృశ్యంలో గణనీయమైన ముప్పును సూచిస్తుంది.