Phần mềm độc hại PathWiper

Một loại phần mềm độc hại phá hoại mới, được gọi là PathWiper, đã được xác định trong các cuộc tấn công mạng có mục tiêu nhắm vào cơ sở hạ tầng quan trọng ở Ukraine. Mục tiêu chính của nó rất rõ ràng: phá vỡ và làm tê liệt khả năng hoạt động trong nước.

Triển khai bí mật thông qua các công cụ hợp pháp

Những kẻ tấn công đã triển khai payload PathWiper bằng một công cụ quản trị điểm cuối hợp pháp. Phương pháp phân phối này cho thấy rằng những kẻ tấn công đã đạt được quyền truy cập quản trị vào các hệ thống mục tiêu thông qua một sự xâm phạm trước đó, làm nổi bật sự tinh vi và kế hoạch đằng sau cuộc tấn công.

Ghi công: Kẻ thù quen thuộc trở lại

Các nhà nghiên cứu an ninh mạng đang điều tra vụ việc đã quy kết cuộc tấn công với độ tin cậy cao cho một mối đe dọa dai dẳng nâng cao (APT) có liên quan đến Nga. Các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát rất giống với Sandworm, một nhóm đe dọa đã biết trước đây chịu trách nhiệm triển khai HermeticWiper ở Ukraine.

PathWiper: Người kế nhiệm tiềm năng của HermeticWiper

PathWiper có nhiều điểm tương đồng đáng kể với HermeticWiper, cho thấy nó có thể là sự tiến hóa của phần mềm độc hại trước đó. Cả hai đều nhằm mục đích gây ra thiệt hại tối đa bằng cách làm hỏng dữ liệu hệ thống quan trọng và sự trùng lặp trong hành vi ngụ ý sự tham gia của cùng một nhóm mối đe dọa hoặc có liên quan chặt chẽ.

Chuỗi tấn công nhiều giai đoạn

Phần mềm độc hại này thực hiện theo một quy trình gồm nhiều giai đoạn:

• Tệp lệnh của Windows kích hoạt VBScript độc hại (uacinstall.vbs).
• Tập lệnh này sẽ thả và thực thi phần mềm cốt lõi (sha256sum.exe), được ngụy trang giống như một công cụ quản trị hợp pháp để tránh bị phát hiện.

Đánh số ổ đĩa nâng cao và phá hoại khối lượng

Không giống như HermeticWiper, tập trung vào việc liệt kê các ổ đĩa vật lý, PathWiper tiến xa hơn một bước bằng cách lập trình xác định tất cả các ổ đĩa được kết nối, bao gồm cả các ổ đĩa cục bộ, mạng và ổ đĩa đã tháo rời. Sau đó, nó tận dụng các API của Windows để tháo rời các ổ đĩa này để chuẩn bị cho hành vi phá hoại.

Phần mềm độc hại tạo ra các luồng cho mỗi ổ đĩa để ghi đè lên các cấu trúc NTFS cần thiết, khiến hệ thống không thể hoạt động.

Phá hủy có chủ đích các tập tin hệ thống cốt lõi

Trong số các thành phần hệ thống mà PathWiper làm hỏng là:

• MBR (Master Boot Record): Chứa bộ nạp khởi động và bảng phân vùng.
• $MFT (Bảng tệp chính): Duy trì chỉ mục của tất cả các tệp và thư mục.
• $LogFile: Theo dõi các thay đổi để đảm bảo tính toàn vẹn và phục hồi.
• $Boot: Lưu trữ thông tin về khu vực khởi động và hệ thống tập tin.

Ngoài ra, năm tệp siêu dữ liệu NTFS quan trọng khác cũng bị ghi đè bằng các byte ngẫu nhiên, càng khiến các hệ thống bị ảnh hưởng không thể phục hồi được.

Không Tiền Chuộc, Không Yêu Cầu - Chỉ Có Sự Phá Hủy

Đáng chú ý là các cuộc tấn công liên quan đến PathWiper không bao gồm bất kỳ hình thức tống tiền hoặc đòi tiền chuộc nào. Sự vắng mặt này xác nhận mục tiêu chính: phá vỡ hoàn toàn hoạt động, thay vì lợi ích tài chính.

Wipers: Một công cụ định kỳ trong chiến tranh hỗn hợp

Kể từ khi cuộc chiến ở Ukraine nổ ra, trình xóa dữ liệu đã trở thành một đặc điểm nổi bật của các hoạt động mạng của Nga. Các công cụ này đã được triển khai trong nhiều chiến dịch với hiệu ứng tàn phá. Các trình xóa dữ liệu đáng chú ý khác được sử dụng trong các chiến dịch tấn công được phát hiện bao gồm: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain , v.v.

Mỗi yếu tố này đều đóng vai trò trong chiến lược rộng hơn nhằm làm mất ổn định cơ sở hạ tầng của Ukraine thông qua chiến tranh mạng.

Kết luận: PathWiper đánh dấu một sự tiến hóa nguy hiểm

PathWiper là ví dụ về sự leo thang liên tục của các công cụ mạng phá hoại được sử dụng chống lại Ukraine. Với các kỹ thuật né tránh tiên tiến, phá hoại cấp hệ thống sâu và quy kết chỉ ra các APT đã biết của Nga, nó đại diện cho một mối đe dọa đáng kể trong bối cảnh xung đột mạng hiện đại.