มัลแวร์ PathWiper
มัลแวร์ทำลายล้างสายพันธุ์ใหม่ที่เรียกว่า PathWiper ได้รับการระบุในการโจมตีทางไซเบอร์แบบกำหนดเป้าหมายที่โครงสร้างพื้นฐานที่สำคัญในยูเครน โดยมีวัตถุประสงค์หลักที่ชัดเจน นั่นคือ การขัดขวางและทำลายความสามารถในการปฏิบัติงานภายในประเทศ
สารบัญ
การปรับใช้อย่างลับๆ ผ่านเครื่องมือที่ถูกกฎหมาย
ผู้โจมตีได้นำโหลด PathWiper ไปใช้งานโดยใช้เครื่องมือการจัดการปลายทางที่ถูกต้อง วิธีการส่งมอบนี้บ่งชี้ว่าผู้ก่อภัยคุกคามได้เข้าถึงระบบเป้าหมายในระดับผู้ดูแลระบบแล้วผ่านการประนีประนอมก่อนหน้านี้ ซึ่งแสดงให้เห็นถึงความซับซ้อนและการวางแผนเบื้องหลังการโจมตี
การระบุแหล่งที่มา: ศัตรูที่คุ้นเคยกลับมา
นักวิจัยด้านความปลอดภัยไซเบอร์ที่กำลังสืบสวนเหตุการณ์ดังกล่าวได้ระบุอย่างชัดเจนว่าการโจมตีครั้งนี้เกิดจากภัยคุกคามขั้นสูงที่ต่อเนื่อง (APT) ที่เชื่อมโยงกับรัสเซีย กลวิธี เทคนิค และขั้นตอน (TTP) ที่สังเกตพบนั้นมีความคล้ายคลึงกับ Sandworm ซึ่งเป็นกลุ่มภัยคุกคามที่ทราบกันดีว่าเคยเป็นผู้รับผิดชอบในการใช้งาน HermeticWiper ในยูเครนมาก่อน
PathWiper: ผู้สืบทอดที่เป็นไปได้ของ HermeticWiper
PathWiper มีความคล้ายคลึงกันอย่างมากกับ HermeticWiper ซึ่งแสดงให้เห็นว่าอาจเป็นวิวัฒนาการของมัลแวร์รุ่นก่อนหน้า ทั้งสองโปรแกรมมีจุดมุ่งหมายเพื่อสร้างความเสียหายสูงสุดโดยการทำลายข้อมูลระบบที่สำคัญ และการทับซ้อนของพฤติกรรมบ่งชี้ถึงการมีส่วนเกี่ยวข้องของคลัสเตอร์ภัยคุกคามเดียวกันหรือที่เกี่ยวข้องอย่างใกล้ชิด
ห่วงโซ่การโจมตีหลายขั้นตอน
มัลแวร์ดำเนินการผ่านกระบวนการหลายขั้นตอน:
- ไฟล์แบตช์ Windows จะกระตุ้น VBScript ที่เป็นอันตราย (uacinstall.vbs)
- สคริปต์จะลบและดำเนินการเพย์โหลดหลัก (sha256sum.exe) โดยปลอมตัวให้ดูเหมือนเครื่องมือการดูแลระบบที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการตรวจจับ
การนับไดรฟ์ขั้นสูงและการทำลายปริมาณ
ต่างจาก HermeticWiper ซึ่งเน้นที่การระบุไดรฟ์ทางกายภาพ PathWiper ก้าวไปอีกขั้นด้วยการระบุไดรฟ์ที่เชื่อมต่อทั้งหมดด้วยโปรแกรม รวมถึงไดรฟ์ภายใน เครือข่าย และไดรฟ์ที่ถอดออก จากนั้นจึงใช้ Windows API เพื่อถอดไดรฟ์เหล่านี้เพื่อเตรียมการสำหรับการก่อวินาศกรรม
มัลแวร์สร้างเธรดสำหรับแต่ละไดรฟ์เพื่อเขียนทับโครงสร้าง NTFS ที่สำคัญ ทำให้ระบบไม่สามารถใช้งานได้
การทำลายไฟล์ระบบหลักอย่างมีเป้าหมาย
ส่วนประกอบของระบบที่ PathWiper เสียหาย ได้แก่:
- MBR (Master Boot Record): ประกอบด้วย bootloader และตารางพาร์ติชั่น
- $MFT (ตารางไฟล์หลัก): รักษาดัชนีของไฟล์และไดเร็กทอรีทั้งหมด
- $LogFile: ติดตามการเปลี่ยนแปลงเพื่อความสมบูรณ์และการกู้คืน
- $Boot: เก็บข้อมูลเซกเตอร์บูตและระบบไฟล์
นอกจากนี้ ไฟล์เมตาข้อมูล NTFS ที่สำคัญอื่น ๆ อีกห้าไฟล์จะถูกเขียนทับด้วยไบต์แบบสุ่ม ช่วยให้มั่นใจได้ว่าไม่สามารถกู้คืนระบบที่ได้รับผลกระทบได้
ไม่ต้องเรียกค่าไถ่ ไม่ต้องเรียกร้อง - มีแต่การทำลายล้างเท่านั้น
ที่น่าสังเกตคือ การโจมตีที่เกี่ยวข้องกับ PathWiper นั้นไม่ได้รวมถึงการกรรโชกหรือเรียกค่าไถ่ในรูปแบบใดๆ ทั้งสิ้น การไม่มีสิ่งนี้ยืนยันถึงวัตถุประสงค์หลัก นั่นคือ การหยุดชะงักของการดำเนินงานทั้งหมด มากกว่าการแสวงหาผลกำไรทางการเงิน
Wipers: เครื่องมือที่วนซ้ำในสงครามไฮบริด
นับตั้งแต่สงครามในยูเครนเริ่มขึ้น เครื่องมือล้างข้อมูลได้กลายมาเป็นสัญลักษณ์ของปฏิบัติการทางไซเบอร์ของรัสเซีย เครื่องมือเหล่านี้ถูกนำไปใช้ในแคมเปญต่างๆ มากมายซึ่งส่งผลกระทบอย่างรุนแรง เครื่องมือล้างข้อมูลอื่นๆ ที่ใช้ในการตรวจจับการโจมตี ได้แก่ CaddyWiper , HermeticWiper , IsaacWiper , AcidRain และอื่นๆ
สิ่งเหล่านี้แต่ละอย่างมีบทบาทในกลยุทธ์ที่กว้างขึ้นในการทำให้โครงสร้างพื้นฐานของยูเครนไม่มั่นคงผ่านสงครามไซเบอร์
บทสรุป: PathWiper เป็นวิวัฒนาการที่อันตราย
PathWiper เป็นตัวอย่างของการเพิ่มขึ้นอย่างต่อเนื่องของเครื่องมือทำลายล้างทางไซเบอร์ที่ใช้กับยูเครน โดยมีเทคนิคการหลบเลี่ยงขั้นสูง การทำลายล้างระบบในระดับลึก และการระบุแหล่งที่มาที่ชี้ไปยัง APT ที่ทราบของรัสเซีย ทำให้ PathWiper ถือเป็นภัยคุกคามที่สำคัญในภูมิทัศน์ของความขัดแย้งทางไซเบอร์สมัยใหม่
