Multi-License Discount Quote
Banta sa Database Malware PathWiper Malware

PathWiper Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Ang isang bagong strain ng mapanirang malware, na tinatawag na PathWiper, ay natukoy sa mga target na cyberattacks na naglalayong kritikal na imprastraktura sa Ukraine. Ang pangunahing layunin nito ay malinaw: upang guluhin at pilayin ang mga kakayahan sa pagpapatakbo sa loob ng bansa.

Palihim na Deployment sa pamamagitan ng Mga Lehitimong Tool

Na-deploy ng mga attacker ang PathWiper payload gamit ang isang lehitimong endpoint administration tool. Ang paraan ng paghahatid na ito ay nagmumungkahi na ang mga aktor ng pagbabanta ay nakamit na ng administratibong pag-access sa mga naka-target na sistema sa pamamagitan ng isang naunang kompromiso, na itinatampok ang pagiging sopistikado at pagpaplano sa likod ng pag-atake.

Attribution: Nagbabalik ang Isang Pamilyar na Kalaban

Iniuugnay ng mga mananaliksik sa cybersecurity na nag-iimbestiga sa insidente ang pag-atake na may mataas na kumpiyansa sa isang advanced na persistent threat (APT) na nauugnay sa Russia. Ang mga taktika, pamamaraan, at pamamaraan (TTPs) na sinusunod ay malapit na katulad ng sa Sandworm, isang kilalang grupo ng pagbabanta na dating responsable sa pag-deploy ng HermeticWiper sa Ukraine.

PathWiper: Isang Malamang na Successor sa HermeticWiper

Ang PathWiper ay nagbabahagi ng makabuluhang pagkakatulad sa HermeticWiper, na nagmumungkahi na maaaring ito ay isang ebolusyon ng naunang malware na iyon. Parehong naglalayon na magdulot ng maximum na pinsala sa pamamagitan ng pagsira sa kritikal na data ng system, at ang overlap sa gawi ay nagpapahiwatig ng pagkakasangkot ng pareho o malapit na nauugnay na mga cluster ng banta.

Isang Multi-Stage Attack Chain

Ang malware ay isinasagawa sa pamamagitan ng maraming yugto na proseso:

  • Ang isang Windows batch file ay nagti-trigger ng isang nakakahamak na VBScript (uacinstall.vbs).
  • Ang script ay bumaba at nagpapatupad ng pangunahing payload (sha256sum.exe), na nagkukunwari upang maging isang lehitimong administratibong tool upang maiwasan ang pagtuklas.

Advanced na Drive Enumeration at Volume Sabotage

Hindi tulad ng HermeticWiper, na nakatuon sa pag-enumerate ng mga pisikal na drive, ang PathWiper ay nagpapatuloy ng isang hakbang sa pamamagitan ng programmatically na pagtukoy sa lahat ng konektadong drive, kabilang ang lokal, network, at mga na-dismount na volume. Pagkatapos ay ginagamit nito ang mga Windows API upang i-dismount ang mga volume na ito bilang paghahanda sa sabotahe.

Ang malware ay nagbubunga ng mga thread para sa bawat volume upang i-overwrite ang mahahalagang istruktura ng NTFS, na epektibong ginagawang hindi gumagana ang mga system.

Naka-target na Pagkasira ng Mga Core System File

Kabilang sa mga bahagi ng system na nasira ng PathWiper ay:

  • MBR (Master Boot Record): Naglalaman ng bootloader at partition table.
  • $MFT (Master File Table): Pinapanatili ang index ng lahat ng mga file at direktoryo.
  • $LogFile: Sinusubaybayan ang mga pagbabago para sa integridad at pagbawi.
  • $Boot: Nag-iimbak ng impormasyon ng boot sector at filesystem.

Bukod pa rito, ang limang iba pang kritikal na NTFS metadata file ay na-overwrite ng mga random na byte, lalo pang tinitiyak na hindi na mababawi ang mga apektadong system.

No Ransom, No Demands - Tanging Pagkasira

Kapansin-pansin, ang mga pag-atake na kinasasangkutan ng PathWiper ay hindi kasama ang anumang anyo ng pangingikil o paghingi ng ransom. Kinukumpirma ng kawalan na ito ang pangunahing layunin: kabuuang pagkagambala ng mga operasyon, sa halip na pakinabang sa pananalapi.

Wipers: Isang Paulit-ulit na Tool sa Hybrid Warfare

Mula nang magsimula ang digmaan sa Ukraine, ang mga wiper ng data ay naging tanda ng mga operasyong cyber ng Russia. Na-deploy ang mga tool na ito sa maraming campaign na may mapangwasak na epekto. Kabilang sa iba pang kapansin-pansing mga wiper na ginagamit sa mga natukoy na kampanya ng pag-atake ang: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain , at higit pa.

Ang bawat isa sa mga ito ay gumaganap ng isang papel sa isang mas malawak na diskarte ng destabilizing Ukrainian imprastraktura sa pamamagitan ng cyberwarfare.

Konklusyon: Ang PathWiper ay Nagmarka ng Mapanganib na Ebolusyon

Inihalimbawa ng PathWiper ang patuloy na pagdami sa mga mapanirang cyber tool na ginagamit laban sa Ukraine. Gamit ang mga advanced na diskarte sa pag-iwas, malalim na sabotahe sa antas ng system, at attribution na tumuturo sa mga kilalang APT ng Russia, kumakatawan ito sa isang makabuluhang banta sa tanawin ng modernong cyber conflict.

Trending

Pinaka Nanood

Naglo-load...