RoarBAT Malware
Ayon sa bagong advisory na inilabas ng Ukrainian Government Computer Emergency Response Team (CERT-UA), ang Russian hacking group na 'Sandworm' ay pinaghihinalaang responsable para sa isang cyber attack na naka-target sa mga Ukrainian state network. Ang pag-atake ay isinagawa sa pamamagitan ng pagsasamantala sa mga nakompromisong VPN account na hindi na-secure ng multi-factor authentication, na nagpapahintulot sa mga hacker na makakuha ng access sa mga kritikal na sistema sa loob ng mga network.
Kapag nakapasok na ang pangkat ng Sandworm sa mga naka-target na device, ginamit nila ang dating hindi kilalang banta na RoarBAT para tanggalin ang data sa mga makinang nagpapatakbo ng Windows at isang Bash script sa mga operating system ng Linux. Nagawa ito sa pamamagitan ng paggamit ng WinRar, isang sikat na programa sa pag-archive, upang i-wipe ang mga file mula sa mga apektadong device. Ang pag-atake ay nagdulot ng malaking pinsala sa imprastraktura ng IT ng pamahalaang Ukrainian, na nagbibigay-diin sa kahalagahan ng multi-factor na pagpapatotoo bilang isang kritikal na hakbang sa seguridad upang maprotektahan laban sa mga naturang pag-atake.
Talaan ng mga Nilalaman
Sinasamantala ng RoarBAT ang Popular na WinRAR Archive Application para Magtanggal ng Data
Gumagamit ang mga aktor ng pagbabanta ng Sandworm ng script ng BAT na tinatawag na 'RoarBat' sa Windows. Ang script na ito ay nag-scan sa mga disk at partikular na direktoryo ng mga nalabag na device para sa maraming uri ng file, kabilang ang doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, at petsa. Ang anumang file na tumutugma sa itinakdang pamantayan ay pagkatapos ay i-archive gamit ang sikat at lehitimong WinRAR archiver tool.
Gayunpaman, ginagamit ng mga banta ng aktor ang '-df' na opsyon sa command-line kapag nagpapatupad ng WinRAR, na nagreresulta sa awtomatikong pagtanggal ng mga file sa panahon ng proseso ng pag-archive. Bukod dito, ang mga archive mismo ay aalisin kapag nakumpleto, na epektibong humahantong sa permanenteng pagbura ng data sa device ng biktima. Ayon sa CERT-UA, ang RoarBAT ay isinasagawa sa pamamagitan ng isang naka-iskedyul na gawain na sentral na ipinamamahagi sa mga Windows domain device sa pamamagitan ng mga patakaran ng grupo.
Target din ng mga Hacker ang Linux Systems
Gumamit ang mga cybercriminal ng Bash script sa mga Linux system, na gumamit ng 'dd' utility para palitan ang mga nilalaman ng mga naka-target na uri ng file ng zero byte, na epektibong binubura ang kanilang data. Ang pagbawi ng mga file na 'na-emptied' ng dd tool ay malamang na hindi, kung hindi imposible, dahil sa pagpapalit ng data na ito.
Ang paggamit ng mga lehitimong programa tulad ng 'dd' command at WinRAR ay nagmumungkahi na ang mga aktor ng pagbabanta ay naglalayong iwasan ang pagtuklas ng software ng seguridad.
Mga Pagkakatulad sa Nakaraang Pag-atake laban sa Mga Target na Ukrainian
Ayon sa CERT-UA, ang kamakailang mapanirang pag-atake na isinagawa ng Sandworm ay may kapansin-pansing pagkakatulad sa isa pang pag-atake na naganap noong Enero 2023 sa Ukrainian state news agency, 'Ukrinform,' na iniuugnay din sa parehong threat actor. Ang pagpapatupad ng nagbabantang plano, ang mga IP address na ginagamit ng mga umaatake, at ang paggamit ng binagong bersyon ng RoarBAT ay lahat ay tumuturo sa pagkakahawig sa pagitan ng dalawang cyberattacks.
