PathWiper Kötü Amaçlı Yazılım

PathWiper adlı yeni bir yıkıcı kötü amaçlı yazılım türü, Ukrayna'daki kritik altyapıyı hedef alan hedefli siber saldırılarda tespit edildi. Birincil amacı açıktır: ülke içindeki operasyonel yetenekleri bozmak ve sakatlamak.

Meşru Araçlar Aracılığıyla Gizli Dağıtım

Saldırganlar, PathWiper yükünü meşru bir uç nokta yönetim aracı kullanarak dağıttı. Bu dağıtım yöntemi, tehdit aktörlerinin daha önceki bir uzlaşma yoluyla hedeflenen sistemlere yönetimsel erişim elde ettiğini ve saldırının ardındaki karmaşıklığı ve planlamayı vurguladığını gösteriyor.

Atıf: Tanıdık Bir Düşman Geri Dönüyor

Olayı araştıran siber güvenlik araştırmacıları, saldırıyı büyük bir güvenle Rusya bağlantılı gelişmiş kalıcı bir tehdide (APT) bağladılar. Gözlemlenen taktikler, teknikler ve prosedürler (TTP'ler), daha önce Ukrayna'da HermeticWiper'ı konuşlandırmaktan sorumlu olan bilinen bir tehdit grubu olan Sandworm'un taktiklerine, tekniklerine ve prosedürlerine (TTP'ler) oldukça benziyor.

PathWiper: HermeticWiper’ın Muhtemel Halefi

PathWiper, HermeticWiper ile önemli benzerlikler paylaşıyor ve bu da onun daha önceki kötü amaçlı yazılımın bir evrimi olabileceğini gösteriyor. Her ikisi de kritik sistem verilerini bozarak maksimum hasar vermeyi hedefliyor ve davranıştaki örtüşme, aynı veya yakından ilişkili tehdit kümelerinin dahil olduğunu ima ediyor.

Çok Aşamalı Bir Saldırı Zinciri

Kötü amaçlı yazılım çok aşamalı bir süreçle çalışır:

• Bir Windows toplu iş dosyası kötü amaçlı bir VBScript'i (uacinstall.vbs) tetikler.
• Betik, tespit edilmekten kaçınmak için meşru bir yönetim aracı gibi görünen çekirdek yükünü (sha256sum.exe) bırakır ve çalıştırır.

Gelişmiş Sürücü Numaralandırması ve Birim Sabotajı

Fiziksel sürücüleri numaralandırmaya odaklanan HermeticWiper'ın aksine, PathWiper yerel, ağ ve sökülmüş birimler dahil olmak üzere tüm bağlı sürücüleri programatik olarak tanımlayarak bir adım daha ileri gider. Daha sonra sabotaj için hazırlık olarak bu birimleri sökmek için Windows API'lerinden yararlanır.

Kötü amaçlı yazılım, her birim için temel NTFS yapılarını üzerine yazmak üzere iş parçacıkları oluşturur ve sistemleri etkin bir şekilde çalışmaz hale getirir.

Çekirdek Sistem Dosyalarının Hedefli İmhası

PathWiper'ın bozduğu sistem bileşenleri arasında şunlar yer alır:

• MBR (Master Boot Record): Önyükleyici ve bölüm tablosunu içerir.
• $MFT (Ana Dosya Tablosu): Tüm dosya ve dizinlerin dizinini tutar.
• $LogFile: Bütünlük ve kurtarma için değişiklikleri izler.
• $Boot: Önyükleme sektörü ve dosya sistemi bilgilerini depolar.

Ayrıca, beş kritik NTFS meta veri dosyasının üzerine rastgele baytlar yazılarak etkilenen sistemlerin kurtarılamayacağı daha da garanti altına alınıyor.

Fidye Yok, Talep Yok - Sadece Yıkım

Özellikle, PathWiper'ı içeren saldırılar herhangi bir gasp veya fidye talebini içermez. Bu yokluk, birincil hedefi teyit eder: finansal kazançtan ziyade operasyonların tamamen bozulması.

Silecekler: Hibrit Savaşta Tekrar Eden Bir Araç

Ukrayna'daki savaşın başlangıcından bu yana, veri siliciler Rus siber operasyonlarının bir özelliği haline geldi. Bu araçlar, yıkıcı etkilere sahip birden fazla kampanyada konuşlandırıldı. Tespit edilen saldırı kampanyalarında kullanılan diğer önemli siliciler şunlardır: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain ve daha fazlası.

Bunların her biri, Ukrayna altyapısını siber savaş yoluyla istikrarsızlaştırmaya yönelik daha geniş bir stratejide rol oynadı.

Sonuç: PathWiper Tehlikeli Bir Evrimi İşaretliyor

PathWiper, Ukrayna'ya karşı kullanılan yıkıcı siber araçlardaki devam eden tırmanışa örnek teşkil ediyor. Gelişmiş kaçınma teknikleri, derin sistem düzeyinde sabotaj ve bilinen Rus APT'lerine atıf yapma ile modern siber çatışma manzarasında önemli bir tehdit oluşturuyor.