เมื่อการสู้รบครั้งล่าสุดเริ่มต้นขึ้นระหว่างรัสเซียและยูเครน นักวิจัยของ ESET ได้ค้นพบมัลแวร์หลายตระกูลที่กำหนดเป้าหมายไปยังองค์กรในยูเครน

• กุมภาพันธ์ 23^rd, 2022, แคมเปญทำลายล้างโดยใช้ HermeticWiper กำหนดเป้าหมายองค์กรยูเครนหลายแห่ง
• การโจมตีทางไซเบอร์นี้เกิดขึ้นก่อนเวลาไม่กี่ชั่วโมง การเริ่มต้นของการรุกรานยูเครนโดยกองกำลังของสหพันธรัฐรัสเซีย
• เวกเตอร์การเข้าถึงเริ่มต้นแตกต่างกันไปในแต่ละองค์กร เรายืนยันกรณีหนึ่งที่ไวเปอร์ถูกทิ้งโดย GPO และพบเวิร์มที่ใช้ในการกระจายไวเปอร์ในเครือข่ายอื่นที่ถูกบุกรุก
• สิ่งประดิษฐ์จากมัลแวร์แนะนำว่ามีการวางแผนการโจมตีมาหลายเดือนแล้ว
• กุมภาพันธ์ 24^thปี 2022 การโจมตีทำลายล้างครั้งที่สองต่อเครือข่ายของรัฐบาลยูเครนได้เริ่มต้นขึ้น โดยใช้ไวเปอร์ที่เราตั้งชื่อว่า IsaacWiper
• ESET Research ยังไม่สามารถระบุการโจมตีเหล่านี้กับผู้คุกคามที่รู้จักได้

การโจมตีทำลายล้างในยูเครน

ตามที่ระบุไว้ใน ESETResearch นี้ tweet และ บล็อกโพสต์ WLSเราค้นพบการโจมตีทำลายล้างต่อคอมพิวเตอร์ในยูเครนซึ่งเริ่มประมาณ 14:52 น. ในวันที่ 23 กุมภาพันธ์^rd, 2022 UTC. เป็นไปตามการปฏิเสธการให้บริการแบบกระจาย (DDoS) โจมตีเว็บไซต์หลักของยูเครน และนำหน้าการรุกรานของกองทัพรัสเซียภายในเวลาไม่กี่ชั่วโมง

การโจมตีแบบทำลายล้างเหล่านี้ใช้ประโยชน์จากองค์ประกอบอย่างน้อยสามส่วน:

• HermeticWiper: ทำให้ระบบใช้งานไม่ได้โดยทำให้ข้อมูลเสียหาย
• HermeticWizard: กระจาย HermeticWiper ผ่านเครือข่ายท้องถิ่นผ่าน WMI และ SMB
• ลึกลับRansom: ransomware เขียนด้วย Go

HermeticWiper ถูกพบในระบบหลายร้อยระบบในองค์กรของยูเครนอย่างน้อยห้าแห่ง

กุมภาพันธ์ 24^thในปี 2022 เราตรวจพบไวเปอร์ใหม่ในเครือข่ายของรัฐบาลยูเครน เราตั้งชื่อว่า IsaacWiper และขณะนี้เรากำลังประเมินลิงก์ (ถ้ามี) กับ HermeticWiper สิ่งสำคัญคือต้องสังเกตว่ามีให้เห็นในองค์กรที่เป็น ไม่ ได้รับผลกระทบจาก HermeticWiper

การแสดงที่มา

ณ จุดนี้ เราไม่พบการเชื่อมต่อที่จับต้องได้กับผู้คุกคามที่รู้จัก HermeticWiper, HermeticWizard และ HermeticRansom จะไม่แชร์โค้ดที่มีความคล้ายคลึงกันอย่างมีนัยสำคัญกับตัวอย่างอื่นๆ ในคอลเล็กชันมัลแวร์ ESET IsaacWiper ก็ยังไม่มีการระบุแหล่งที่มาเช่นกัน

ปฏิบัติการ

HermeticWiper และ HermeticWizard ได้รับการลงนามโดยใบรับรองการลงนามรหัส (แสดงในรูปที่ 1) ที่กำหนดให้กับ เฮอร์เมติกา ​​ดิจิตอล จำกัด ออกเมื่อ 13 เมษายน^th, 2021 เราขอให้ CA (DigiCert) ที่ออกใบรับรองเพิกถอนใบรับรองซึ่งทำเมื่อวันที่ 24 กุมภาพันธ์^th, 2022

ตาม รายงานโดย Reutersดูเหมือนว่าใบรับรองนี้ไม่ได้ถูกขโมยจาก Hermetica Digital มีแนวโน้มว่าผู้โจมตีจะปลอมตัวเป็น บริษัท Cypriot แทนเพื่อรับใบรับรองนี้จาก DigiCert

นักวิจัยของ ESET ประเมินด้วยความมั่นใจอย่างสูงว่าองค์กรที่ได้รับผลกระทบถูกบุกรุกอย่างดีล่วงหน้าก่อนการติดตั้งไวเปอร์ ขึ้นอยู่กับข้อเท็จจริงหลายประการ:

• การประทับเวลาการรวบรวม HermeticWiper PE ซึ่งเก่าแก่ที่สุดคือวันที่ 28 ธันวาคม^th, 2021
• วันที่ออกใบรับรองการเซ็นรหัสวันที่ 13 เมษายน^th, 2021
• การปรับใช้ HermeticWiper ผ่าน GPO อย่างน้อยหนึ่งอินสแตนซ์แสดงให้เห็นว่าผู้โจมตีเข้าถึงเซิร์ฟเวอร์ Active Directory ของเหยื่อรายใดรายหนึ่งก่อน

สรุปเหตุการณ์ในไทม์ไลน์ในรูปที่ 2

การเข้าถึงเบื้องต้น

HermeticWiper

ขณะนี้ไม่รู้จักเวกเตอร์การเข้าถึงเริ่มต้น แต่เราได้สังเกตเห็นสิ่งประดิษฐ์ของการเคลื่อนไหวด้านข้างภายในองค์กรเป้าหมาย ในเอนทิตีหนึ่ง Wiper ถูกปรับใช้ผ่านนโยบายโดเมนเริ่มต้น (GPO) ดังที่แสดงโดยเส้นทางบนระบบ:

C:Windowssystem32GroupPolicyDataStoresysvol<redacted>Policies{31B2F340-016D-11D2-945F-00C04FB984F9}Machinecc.exe

ซึ่งบ่งชี้ว่าผู้โจมตีน่าจะเข้าควบคุมเซิร์ฟเวอร์ Active Directory

ในกรณีอื่นๆ เป็นไปได้ว่า อิมแพ็คเก็ต ถูกใช้เพื่อปรับใช้ HermeticWiper ไซแมนเทค โพสต์บล็อก ระบุว่า Wiper ถูกปรับใช้โดยใช้บรรทัดคำสั่งต่อไปนี้:

cmd.exe /Q /c ย้าย CSIDL_SYSTEM_DRIVEtempsys.tmp1 CSIDL_WINDOWSpolicydefinitionspostgresql.exe 1> \127.0.0.1ADMIN$__1636727589.6007507 2>&1

ส่วนสุดท้ายเหมือนกับพฤติกรรมเริ่มต้นใน Impacket's wmiexec.pyพบเมื่อ GitHub.

สุดท้าย เวิร์มแบบกำหนดเองที่เราตั้งชื่อว่า HermeticWizard ถูกใช้เพื่อกระจาย HermeticWiper ทั่วเครือข่ายที่ถูกบุกรุกผ่าน SMB และ WMI

ไอแซกไวเปอร์

ขณะนี้ยังไม่ทราบเวกเตอร์การเข้าถึงเริ่มต้น มีแนวโน้มว่าผู้โจมตีจะใช้เครื่องมือเช่น Impacket เพื่อเคลื่อนที่ไปทางด้านข้าง ในเครื่องบางเครื่องเรายังสังเกตเห็น รีมคอมซึ่งเป็นเครื่องมือการเข้าถึงระยะไกลที่ปรับใช้พร้อมกับ IsaacWiper

การวิเคราะห์ทางเทคนิค

HermeticWiper

HermeticWiper เป็นระบบปฏิบัติการ Windows ที่มีไดรเวอร์สี่ตัวที่ฝังอยู่ในทรัพยากร เป็นไดรเวอร์ที่ถูกต้องตามกฎหมายจากซอฟต์แวร์ EaseUS Partition Master ที่ลงนามโดย เฉิงตู YIWO Tech Development Co.และใช้การดำเนินการดิสก์ระดับต่ำ มีการสังเกตไฟล์ต่อไปนี้:

• 0E84AFF18D42FC691CB1104018F44403C325AD21: ไดรเวอร์ x64
• 379FF9236F0F72963920232F4A0782911A6BD7F7: ไดรเวอร์ x86
• 87BD9404A68035F8D70804A5159A37D1EB0A3568: ไดรเวอร์ x64 XP
• B33DD3EE12F9E6C150C964EA21147BF6B7F7AFA9: ไดรเวอร์ x86 XP

ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ ไดรเวอร์หนึ่งในสี่ตัวนั้นจะถูกเลือกและปล่อยใน C:WindowsSystem32drivers<4 ตัวอักษรสุ่ม>.sys. มันถูกโหลดโดยการสร้างบริการ

จากนั้น HermeticWiper จะดำเนินการโดยปิดใช้งาน Volume Shadow Copy Service (VSS) และล้างข้อมูลออกจากดิสก์โดยเขียนทับไฟล์ของตัวเองด้วยไบต์สุ่ม มาตรการต่อต้านนิติวิทยาศาสตร์นี้มีแนวโน้มที่จะป้องกันการวิเคราะห์ไวเปอร์ในการวิเคราะห์หลังเหตุการณ์

เป็นที่น่าสนใจที่จะทราบว่าการดำเนินการไฟล์ส่วนใหญ่ดำเนินการในระดับต่ำโดยใช้ อุปกรณ์IoControl โทร

ตำแหน่งต่อไปนี้ถูกเขียนทับด้วยไบต์สุ่มที่สร้างโดยฟังก์ชัน Windows API CryptGenสุ่ม:

• มาสเตอร์บูตเรคคอร์ด (MBR)
• ตารางไฟล์หลัก (MFT)
• $ บิตแมป และ $ LogFile บนไดรฟ์ทั้งหมด
• ไฟล์ที่มีรีจิสตรีคีย์ (เอ็นทูเซอร์*)
• C:WindowsSystem32winevtLogs

นอกจากนี้ยังล้างโฟลเดอร์และไฟล์แบบเรียกซ้ำใน Windows, ไฟล์โปรแกรม, ไฟล์โปรแกรม (x86), PerfLogs, รองเท้า, ระบบสารสนเทศระดับเสียงและ AppData โฟลเดอร์โดยใช้ a FSCTL_MOVE_FILE การดำเนินการ. เทคนิคนี้ดูค่อนข้างผิดปกติและคล้ายกับที่ใช้ใน โครงการ Windows Wipe บน GitHub (โปรดดู เช็ด_extent_by_defrag การทำงาน). นอกจากนี้ยังเช็ดลิงก์สัญลักษณ์และไฟล์ขนาดใหญ่ใน เอกสารของฉัน และ เดสก์ทอป โฟลเดอร์โดยเขียนทับด้วยไบต์สุ่ม

ในที่สุด เครื่องจะรีสตาร์ท อย่างไรก็ตาม จะไม่สามารถบู๊ตได้ เนื่องจาก MBR, MFT และไฟล์ส่วนใหญ่ถูกล้าง เราเชื่อว่าเป็นไปไม่ได้ที่จะกู้คืนเครื่องจักรที่ได้รับผลกระทบ

HermeticWizard

มองหาตัวอย่างอื่นๆ ที่ลงนามโดยใบรับรองการเซ็นโค้ดเดียวกัน (เฮอร์เมติกา ​​ดิจิตอล จำกัด) เราพบมัลแวร์ตระกูลใหม่ที่เราตั้งชื่อว่า HermeticWizard

เป็นเวิร์มที่ถูกนำไปใช้กับระบบในยูเครน เวลา 14:52:49 น. วันที่ 23 กุมภาพันธ์^rd, 2022 UTC. เป็นไฟล์ DLL ที่พัฒนาใน C ++ ที่ส่งออกฟังก์ชัน ติดตั้ง Dll, DllRegisterServerและ DllUnregisterServer.dll ยกเลิกการลงทะเบียนเซิร์ฟเวอร์. ชื่อ DLL การส่งออกคือ Wizard.dll. ประกอบด้วยทรัพยากรสามอย่าง ซึ่งเป็นไฟล์ PE ที่เข้ารหัส:

• ตัวอย่างของ HermeticWiper (912342F1C840A42F6B74132F8A7C4FFE7D40FB77)
• exec_32.dll, รับผิดชอบในการแพร่กระจายไปยังคอมพิวเตอร์ท้องถิ่นอื่น ๆ ผ่าน WMI (6B5958BFABFE7C731193ADB96880B225C8505B73)
• Romance.dll, รับผิดชอบการแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นผ่าน SMB (AC5B6F16FC5115F0E2327A589246BA00B41439C2)

ทรัพยากรได้รับการเข้ารหัสด้วยการวนซ้ำ XOR แบบย้อนกลับ แต่ละบล็อกที่มีสี่ไบต์ XORed กับบล็อกก่อนหน้า ในที่สุดบล็อกแรกคือ XORed ด้วยค่าฮาร์ดโค้ด 0x4A29B1A3.

HermeticWizard เริ่มทำงานโดยใช้บรรทัดคำสั่ง regsvr32.exe /s /i.

อันดับแรก HermeticWizard พยายามค้นหาเครื่องอื่นในเครือข่ายท้องถิ่น รวบรวมที่อยู่ IP ในเครื่องที่รู้จักโดยใช้ฟังก์ชัน Windows ต่อไปนี้:

• DNSGetCacheDataTable
• GetIpNetTable
• WNetOpenEnumW (RESOURCE_GLOBALNET, RESOURCETYPE_ANY)
• NetServerEnum
• รับTcpTable
• GetAdaptersAddresses

จากนั้นจะพยายามเชื่อมต่อกับที่อยู่ IP เหล่านั้น (และเฉพาะในกรณีที่เป็นที่อยู่ IP ในเครื่อง) เพื่อดูว่ายังสามารถเข้าถึงได้หรือไม่ ในกรณีที่ -s มีการให้อาร์กิวเมนต์เมื่อเริ่ม HermeticWizard (regsvr32.exe /s /i:-s) นอกจากนี้ยังสแกนช่วงเต็ม /24 ดังนั้น ถ้า 192.168.1.5 พบในแคช DNS เพิ่มขึ้นจาก 192.168.1.1 ไปยัง 192.168.1.254. สำหรับแต่ละที่อยู่ IP จะพยายามเปิดการเชื่อมต่อ TCP บนพอร์ตต่อไปนี้:

• 20: ftp
• 21: ftp
• 22: สช
• 80: http
• 135: รอบต่อนาที
• 137: เน็ตไบออส
• 139: นิดหน่อย
• 443: https
• 445: นิดหน่อย

พอร์ตต่างๆ จะถูกสแกนแบบสุ่ม ดังนั้นจึงไม่สามารถพิมพ์ลายนิ้วมือการรับส่งข้อมูล HermeticWizard ด้วยวิธีนี้ได้

เมื่อพบเครื่องที่เข้าถึงได้ จะลด WMI spreader (รายละเอียดด้านล่าง) ลงบนดิสก์และสร้างกระบวนการใหม่ด้วยบรรทัดคำสั่ง rundll32 <6 ตัวอักษรสุ่ม>.ocx #1 -s - ฉัน.

มันทำเช่นเดียวกันกับตัวกระจาย SMB (รายละเอียดด้านล่าง) ที่ถูกทิ้งใน <6 ตัวอักษรสุ่ม>.ocxแต่มีตัวอักษรสุ่มต่างกัน

ในที่สุดก็หยด HermeticWiper ใน <6 ตัวอักษรสุ่ม>.ocx และดำเนินการมัน

เครื่องกระจาย WMI

WMI spreader ตั้งชื่อโดยนักพัฒนา exec_32.dllรับสองอาร์กิวเมนต์:

• -i: ที่อยู่ IP เป้าหมาย
• -s: ไฟล์ที่จะคัดลอกและดำเนินการบนเครื่องเป้าหมาย

ขั้นแรก สร้างการเชื่อมต่อกับรีโมท ADMIN $ ส่วนแบ่งของเป้าหมายโดยใช้ WNetAddConnection2W. ไฟล์ที่ให้ไว้ใน -s อาร์กิวเมนต์จะถูกคัดลอกโดยใช้ คัดลอกไฟล์W. ไฟล์ระยะไกลมีชื่อสุ่มที่สร้างด้วย CoCreateGUID (เช่น, cB9F06408D8D2.dll) และรูปแบบสตริง c%02X%02X%02X%02X%02X%02X.

ประการที่สอง มันพยายามรันไฟล์ที่คัดลอก HermeticWizard บนเครื่องระยะไกลโดยใช้ DCOM มันเรียก CoCreateInstance กับ CLSID_WbemLocator เป็นข้อโต้แย้ง จากนั้นจึงใช้ WMI Win32_กระบวนการ เพื่อสร้างกระบวนการใหม่บนเครื่องระยะไกลด้วยบรรทัดคำสั่ง C:windowssystem32cmd.exe /c start C:windowssystem32\regsvr32.exe /s /i C:windows .dll.

โปรดทราบว่า -s อาร์กิวเมนต์จะไม่ถูกส่งผ่านไปยัง HermeticWizard ซึ่งหมายความว่าจะไม่สแกนเครือข่ายท้องถิ่นอีกครั้งจากเครื่องใหม่ที่ถูกบุกรุก

หากเทคนิค WMI ล้มเหลว จะพยายามสร้างบริการโดยใช้ OpenRemoteServiceManager ด้วยคำสั่งเดียวกับข้างบน

หากดำเนินการ DLL ระยะไกลสำเร็จไม่ว่าจะด้วยวิธีใดก็ตาม โปรแกรมจะพักการทำงานจนกว่าจะสามารถลบไฟล์ระยะไกลได้

เครื่องกระจาย SMB

SMB spreader ตั้งชื่อโดยนักพัฒนา Romance.dllรับสองอาร์กิวเมนต์เดียวกันกับตัวกระจาย WMI ชื่อภายในน่าจะอ้างอิงถึงการหาประโยชน์จาก EternalRomance แม้ว่าจะไม่ได้ใช้ประโยชน์จากช่องโหว่ใดๆ ก็ตาม

ขั้นแรก พยายามเชื่อมต่อกับไพพ์ต่อไปนี้บนการแชร์ SMB ระยะไกล (บนพอร์ต 445):

• สมร
• เบราว์เซอร์
• เน็ตล็อกออน
• ลซาร์พีซี
• ntsvcs
• svcctl

ท่อเหล่านี้เป็นท่อที่ใช้ในการเคลื่อนที่ด้านข้าง ตัวกระจายมีรายการของข้อมูลประจำตัวแบบฮาร์ดโค้ดที่ใช้ในการพยายามรับรองความถูกต้องผ่าน NTLMSSP ไปยัง SMB ที่ใช้ร่วมกัน:

— ชื่อผู้ใช้ —
ผู้เข้าพัก
ทดสอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
ราก
ผู้บริหาร
ผู้จัดการ
ผู้ประกอบการ

— รหัสผ่าน —
123
กัซ123
Qwerty123

รายการข้อมูลรับรองนี้สั้นจนน่าประหลาดใจและไม่น่าจะใช้ได้กับเครือข่ายที่มีการป้องกันต่ำที่สุด

หากการเชื่อมต่อสำเร็จ จะพยายามปล่อยไปที่เป้าหมาย ADMIN $ แชร์ ไฟล์ที่อ้างอิงโดย -s ข้อโต้แย้ง. สำหรับตัวกระจาย WMI ชื่อไฟล์ระยะไกลจะถูกสร้างขึ้นโดยการเรียกไปยัง CoCreateInstance.

จากนั้นดำเนินการผ่าน SMB บรรทัดคำสั่ง cmd /c เริ่ม regsvr32 /s /i ..\ & เริ่ม cmd /c ” ping localhost -n 7 & wevtutil cl System”.

ลึกลับRansom

นักวิจัยของ ESET ยังสังเกตเห็น HermeticRansom – ransomware ที่เขียนในภาษา Go – ถูกใช้ในยูเครนพร้อมกับแคมเปญ HermeticWiper HermeticRansom ได้รับรายงานครั้งแรกในช่วงเช้าของวันที่ 24 กุมภาพันธ์^th, 2022 UTC ใน tweet จาก AVAST การวัดและส่งข้อมูลทางไกลของเราแสดงการปรับใช้ที่น้อยกว่ามากเมื่อเทียบกับ HermeticWiper แรนซัมแวร์นี้ถูกปรับใช้พร้อมกับ HermeticWiper ซึ่งอาจใช้เพื่อซ่อนการกระทำของไวเปอร์ บนเครื่องหนึ่ง สังเกตไทม์ไลน์ต่อไปนี้:

• 2022-02-23 17:49:55 UTC: HermeticWiper ใน C:WindowsTempcc.exe นำไปใช้
• 2022-02-23 18:06:57 UTC: ค่าไถ่ลึกลับใน C:WindowsTempcc2.exe นำไปใช้โดย netsvcs บริการ
• 2022-02-23 18:26:07 UTC: HermeticWiper ที่สองใน C:Userscom.exe นำไปใช้

มีอยู่ครั้งหนึ่ง เราสังเกตว่า HermeticRansom ถูกปรับใช้ผ่าน GPO เช่นเดียวกับ HermeticWiper:

C:WINDOWSsystem32GroupPolicyDataStoresysvol<redacted>Policies{31B2F340-016D-11D2-945F-00C04FB984F9}Machinecpin.exe

ผู้โจมตีเหลือสายอักขระสองสามตัวไว้ในไบนารี พวกเขาอ้างถึงประธานาธิบดีสหรัฐ Biden และทำเนียบขาว:

• _/C_/projects/403forBiden/wHiteHousE.baggageGatherings
• _/C_/projects/403forBiden/wHiteHousE.lookUp
• _/C_/projects/403forBiden/wHiteHousE.primaryElectionProcess
• _/C_/projects/403forBiden/wHiteHousE.GoodOffice1

เมื่อไฟล์ถูกเข้ารหัสแล้ว ข้อความในรูปที่ 3 จะแสดงให้เหยื่อเห็น

ไอแซกไวเปอร์

IsaacWiper พบได้ใน Windows DLL หรือ EXE ที่ไม่มีลายเซ็นรับรองความถูกต้อง มันปรากฏใน telemetry ของเราเมื่อ 24 กุมภาพันธ์^th, 2022 ตามที่กล่าวไว้ก่อนหน้านี้ การประทับเวลาการรวบรวม PE ที่เก่าที่สุดที่เราพบคือ 19 ตุลาคม^th, 2021 ซึ่งหมายความว่าหากไม่มีการประทับเวลาการรวบรวม PE ของมัน IsaacWiper อาจถูกใช้ในการดำเนินงานก่อนหน้าหลายเดือนก่อนหน้านี้

สำหรับตัวอย่าง DLL ชื่อในไดเร็กทอรีการส่งออก PE คือ Cleaner.dll และมีการส่งออกเดียว _เริ่ม@4.

เราได้สังเกต IsaacWiper ใน %ข้อมูลโปรแกรม% และ C: WindowsSystem32 ภายใต้ชื่อไฟล์ต่อไปนี้:

• clean.exe
• cl.exe
• cl64.dll
• cld.dll
• cll.dll

ไม่มีความคล้ายคลึงของรหัสกับ HermeticWiper และซับซ้อนน้อยกว่า จากไทม์ไลน์ อาจเป็นไปได้ว่าทั้งคู่มีความเกี่ยวข้องกัน แต่เรายังไม่พบการเชื่อมต่อที่แข็งแกร่ง

IsaacWiper เริ่มต้นด้วยการระบุไดรฟ์จริงและการเรียก อุปกรณ์IoControl กับ IOCTL IOCTL_STORAGE_GET_DEVICE_NUMBER เพื่อรับหมายเลขอุปกรณ์ จากนั้นจะล้าง 0x10000 ไบต์แรกของแต่ละดิสก์โดยใช้ ISAAC เครื่องกำเนิดสุ่มเทียม เครื่องกำเนิดถูกเพาะโดยใช้ GetTickCount มูลค่า

จากนั้นจะระบุโลจิคัลไดรฟ์และล้างทุกไฟล์ซ้ำๆ ของดิสก์แต่ละดิสก์ด้วยไบต์สุ่มที่สร้างโดย ISAAC PRNG เป็นที่น่าสนใจที่จะทราบว่าจะล้างไฟล์ซ้ำๆ ในเธรดเดียว ซึ่งหมายความว่าจะใช้เวลานานในการล้างดิสก์ขนาดใหญ่

กุมภาพันธ์ 25^thในปี 2022 ผู้โจมตีได้ปล่อย IsaacWiper เวอร์ชันใหม่พร้อมบันทึกการดีบัก ซึ่งอาจบ่งชี้ว่าผู้โจมตีไม่สามารถล้างข้อมูลเครื่องเป้าหมายบางเครื่องและเพิ่มข้อความบันทึกเพื่อทำความเข้าใจว่าเกิดอะไรขึ้น บันทึกจะถูกเก็บไว้ใน C:ProgramDatalog.txt และข้อความบันทึกบางส่วนได้แก่:

• รับไดรฟ์...
• เริ่มลบฟิสิคัลไดรฟ์…
• –– เริ่มลบไดรฟ์ลอจิคัล
• เริ่มลบฟิสิคัลไดรฟ์ของระบบ…
• ฟิสิคัลไดรฟ์ของระบบ –– FAILED
• เริ่มการลบไดรฟ์ลอจิคัลของระบบ

สรุป

รายงานนี้ให้รายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์ที่ทำลายล้างซึ่งส่งผลกระทบต่อองค์กรของยูเครนเมื่อวันที่ 23 กุมภาพันธ์^rd, 2022 และการโจมตีครั้งที่สองที่ส่งผลกระทบต่อองค์กรยูเครนอื่นตั้งแต่วันที่ 24 กุมภาพันธ์^th ผ่าน 26^thพ.ศ. 2022 ณ จุดนี้ เราไม่มีข้อบ่งชี้ว่าประเทศอื่นตกเป็นเป้าหมาย

อย่างไรก็ตาม เนื่องจากวิกฤตการณ์ในยูเครนในปัจจุบัน ยังคงมีความเสี่ยงที่ผู้คุกคามแบบเดียวกันจะเปิดตัวแคมเปญเพิ่มเติมเพื่อต่อต้านประเทศที่สนับสนุนรัฐบาลยูเครนหรือคว่ำบาตรหน่วยงานของรัสเซีย

ไอโอซี

SHA-1	ชื่อไฟล์	ชื่อการตรวจจับ ESET	รายละเอียด
912342F1C840A42F6B74132F8A7C4FFE7D40FB77	com.exe	Win32/KillDisk.NCV	HermeticWiper
61B25D11392172E587D8DA3045812A66C3385451	conhosts.exe	Win32/KillDisk.NCV	HermeticWiper
3C54C9A49A8DDCA02189FE15FEA52FE24F41A86F	c9EEAF78C9A12.dat	Win32/GenCBL.BSP	HermeticWizard
F32D791EC9E6385A91B45942C230F52AFF1626DF	cc2.exe	WinGo/Filecoder.BK	ลึกลับRansom
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3	cl64.dll	Win32/KillMBR.NHP	ไอแซกไวเปอร์
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950	cld.dll	Win32/KillMBR.NHQ	ไอแซกไวเปอร์
E9B96E9B86FAD28D950CA428879168E0894D854F	clean.exe	Win32/KillMBR.NHP	ไอแซกไวเปอร์
23873BF2670CF64C2440058130548D4E4DA412DD	XqoYMlBX.exe	Win32/RiskWare.RemoteAdmin.RemoteExec.AC	เครื่องมือการเข้าถึงระยะไกล RemCom ที่ถูกต้องตามกฎหมาย

เทคนิค MITER ATT&CK

ตารางนี้ถูกสร้างขึ้นโดยใช้ 10 รุ่น ของกรอบงาน MITER ATT&CK

ชั้นเชิง	ID	Name	รายละเอียด
การพัฒนาทรัพยากร	T1588.002	รับความสามารถ: เครื่องมือ	ผู้โจมตีใช้ RemCom และอาจ Impacket เป็นส่วนหนึ่งของแคมเปญ
	T1588.003	รับความสามารถ: ใบรับรองการลงนามรหัส	ผู้โจมตีได้รับใบรับรองการลงนามรหัสสำหรับแคมเปญของพวกเขา
การเข้าถึงเบื้องต้น	T1078.002	บัญชีที่ถูกต้อง: บัญชีโดเมน	ผู้โจมตีสามารถติดตั้งไวเปอร์มัลแวร์ผ่าน GPO
การกระทำ	T1059.003	ล่ามคำสั่งและสคริปต์: Windows Command Shell	ผู้โจมตีใช้บรรทัดคำสั่งระหว่างการโจมตี (เช่น การใช้ Impacket ที่เป็นไปได้)
	T1106	API ดั้งเดิม	ผู้โจมตีใช้ API ดั้งเดิมในมัลแวร์
	T1569.002	บริการระบบ: การดำเนินการบริการ	HermeticWiper ใช้ไดรเวอร์ที่โหลดเป็นบริการเพื่อทำให้ข้อมูลเสียหาย
	T1047	ของ Windows Management Instrumentation	HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ WMI
การค้นพบ	T1018	การค้นพบระบบระยะไกล	HermeticWizard สแกนช่วง IP ในเครื่องเพื่อค้นหาเครื่องในพื้นที่
การเคลื่อนไหวด้านข้าง	T1021.002	บริการระยะไกล: แชร์ผู้ดูแลระบบ SMB/Windows	HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ SMB
	T1021.003	บริการระยะไกล: โมเดลออบเจ็กต์คอมโพเนนต์แบบกระจาย	HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ WbemLocator เพื่อเริ่มกระบวนการใหม่จากระยะไกลผ่าน WMI
ส่งผลกระทบ	T1561.002	การล้างข้อมูลบนดิสก์: การล้างโครงสร้างดิสก์	HermeticWiper ทำลายข้อมูลใน MBR และ MFT ของระบบ
	T1561.001	การล้างข้อมูลบนดิสก์: การล้างเนื้อหาดิสก์	HermeticWiper ทำให้ไฟล์เสียหายใน Windows, ไฟล์โปรแกรม, ไฟล์โปรแกรม (x86), PerfLogs, รองเท้า, ระบบสารสนเทศระดับเสียงและ AppData.
	T1485	การทำลายข้อมูล	HermeticWiper ทำลายข้อมูลผู้ใช้ที่พบในระบบ
	T1499.002	การปฏิเสธบริการปลายทาง: น้ำท่วมบริการหมด	ด้วยการใช้การโจมตี DDoS ผู้โจมตีทำให้เว็บไซต์ของรัฐบาลจำนวนหนึ่งไม่สามารถใช้งานได้

• คอยน์สมาร์ท การแลกเปลี่ยน Bitcoin และ Crypto ที่ดีที่สุดในยุโรป
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าฟรี
• คริปโตฮอว์ก เรดาร์ Altcoin ทดลองฟรี.
• ที่มา: https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/