RoarBAT 恶意软件

根据乌克兰政府计算机应急响应小组 (CERT-UA) 发布的最新报告，俄罗斯黑客组织“Sandworm”被怀疑对针对乌克兰国家网络的网络攻击负责。该攻击是通过利用未受多因素身份验证保护的受损 VPN 帐户进行的，从而使黑客能够访问网络中的关键系统。

一旦Sandworm组织进入目标设备，他们就会使用以前未知的威胁 RoarBAT 删除运行 Windows 的机器上的数据和 Linux 操作系统上的 Bash 脚本。这是通过使用流行的归档程序 WinRar 从受影响的设备擦除文件来实现的。这次攻击对乌克兰政府的 IT 基础设施造成了重大破坏，凸显了多因素身份验证作为防止此类攻击的关键安全措施的重要性。

RoarBAT 利用流行的 WinRAR 存档应用程序删除数据

Sandworm 威胁参与者在 Windows 上使用名为“RoarBat”的 BAT 脚本。此脚本扫描被破坏设备的磁盘和特定目录以查找多种文件类型，包括 doc、df、png、docx、xls、xlsx、ppt、pptx、vsd、vsdx、rtf、txt、p jpeg、jpg、zip、rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, and date.然后使用流行且合法的 WinRAR 归档工具归档任何符合设定标准的文件。

然而，威胁参与者在执行 WinRAR 时利用“-df”命令行选项，导致在归档过程中自动删除文件。此外，档案本身会在完成后被删除，从而有效地导致永久删除受害者设备上的数据。根据 CERT-UA，RoarBAT 是通过计划任务执行的，该任务通过组策略集中分发到 Windows 域设备。

黑客也以 Linux 系统为目标

网络犯罪分子在 Linux 系统上使用 Bash 脚本，该脚本利用“dd”实用程序将目标文件类型的内容替换为零字节，从而有效地擦除其数据。由于此数据替换，即使不是不可能，也不太可能恢复被 dd 工具“清空”的文件。

使用“dd”命令和 WinRAR 等合法程序表明威胁行为者旨在逃避安全软件的检测。

与之前针对乌克兰目标的攻击的相似之处

根据 CERT-UA，Sandworm 最近发动的破坏性攻击与 2023 年 1 月发生在乌克兰国家通讯社“Ukrinform”的另一次攻击有着惊人的相似之处，后者也归因于同一威胁行为者。威胁计划的实施、攻击者使用的 IP 地址以及修改版 RoarBAT 的使用都表明这两次网络攻击之间存在相似之处。