RoarBAT 惡意軟件

根據烏克蘭政府計算機應急響應小組 (CERT-UA) 發布的最新報告，俄羅斯黑客組織“Sandworm”被懷疑對針對烏克蘭國家網絡的網絡攻擊負責。該攻擊是通過利用未受多因素身份驗證保護的受損 VPN 帳戶進行的，從而使黑客能夠訪問網絡中的關鍵系統。

一旦Sandworm組織進入目標設備，他們就會使用以前未知的威脅 RoarBAT 刪除運行 Windows 的機器上的數據和 Linux 操作系統上的 Bash 腳本。這是通過使用流行的歸檔程序 WinRar 從受影響的設備擦除文件來實現的。這次攻擊對烏克蘭政府的 IT 基礎設施造成了重大破壞，凸顯了多因素身份驗證作為防止此類攻擊的關鍵安全措施的重要性。

RoarBAT 利用流行的 WinRAR 存檔應用程序刪除數據

Sandworm 威脅參與者在 Windows 上使用名為“RoarBat”的 BAT 腳本。此腳本掃描被破壞設備的磁盤和特定目錄以查找多種文件類型，包括 doc、df、png、docx、xls、xlsx、ppt、pptx、vsd、vsdx、rtf、txt、p jpeg、jpg、zip、rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, and date.然後使用流行且合法的 WinRAR 歸檔工具歸檔任何符合設定標準的文件。

然而，威脅參與者在執行 WinRAR 時利用“-df”命令行選項，導致在歸檔過程中自動刪除文件。此外，檔案本身會在完成後被刪除，從而有效地導致永久刪除受害者設備上的數據。根據 CERT-UA，RoarBAT 是通過計劃任務執行的，該任務通過組策略集中分發到 Windows 域設備。

黑客也以 Linux 系統為目標

網絡犯罪分子在 Linux 系統上使用 Bash 腳本，該腳本利用“dd”實用程序將目標文件類型的內容替換為零字節，從而有效地擦除其數據。由於此數據替換，即使不是不可能，也不太可能恢復被 dd 工具“清空”的文件。

使用“dd”命令和 WinRAR 等合法程序表明威脅行為者旨在逃避安全軟件的檢測。

與之前針對烏克蘭目標的攻擊的相似之處

根據 CERT-UA，Sandworm 最近發動的破壞性攻擊與 2023 年 1 月發生在烏克蘭國家通訊社“Ukrinform”的另一次攻擊有著驚人的相似之處，後者也歸因於同一威脅行為者。威脅計劃的實施、攻擊者使用的 IP 地址以及修改版 RoarBAT 的使用都表明這兩次網絡攻擊之間存在相似之處。