นักวิจัยของ ESET ค้นพบ Wiper ใหม่ที่โจมตีองค์กรของยูเครนและองค์ประกอบเวิร์มที่แพร่กระจาย HermeticWiper ในเครือข่ายท้องถิ่น
เมื่อการสู้รบครั้งล่าสุดเริ่มต้นขึ้นระหว่างรัสเซียและยูเครน นักวิจัยของ ESET ได้ค้นพบมัลแวร์หลายตระกูลที่กำหนดเป้าหมายไปยังองค์กรในยูเครน
- กุมภาพันธ์ 23rd, 2022, แคมเปญทำลายล้างโดยใช้ HermeticWiper กำหนดเป้าหมายองค์กรยูเครนหลายแห่ง
- การโจมตีทางไซเบอร์นี้เกิดขึ้นก่อนเวลาไม่กี่ชั่วโมง การเริ่มต้นของการรุกรานยูเครนโดยกองกำลังของสหพันธรัฐรัสเซีย
- เวกเตอร์การเข้าถึงเริ่มต้นแตกต่างกันไปในแต่ละองค์กร เรายืนยันกรณีหนึ่งที่ไวเปอร์ถูกทิ้งโดย GPO และพบเวิร์มที่ใช้ในการกระจายไวเปอร์ในเครือข่ายอื่นที่ถูกบุกรุก
- สิ่งประดิษฐ์จากมัลแวร์แนะนำว่ามีการวางแผนการโจมตีมาหลายเดือนแล้ว
- กุมภาพันธ์ 24thปี 2022 การโจมตีทำลายล้างครั้งที่สองต่อเครือข่ายของรัฐบาลยูเครนได้เริ่มต้นขึ้น โดยใช้ไวเปอร์ที่เราตั้งชื่อว่า IsaacWiper
- ESET Research ยังไม่สามารถระบุการโจมตีเหล่านี้กับผู้คุกคามที่รู้จักได้
การโจมตีทำลายล้างในยูเครน
ตามที่ระบุไว้ใน ESETResearch นี้ tweet และ บล็อกโพสต์ WLSเราค้นพบการโจมตีทำลายล้างต่อคอมพิวเตอร์ในยูเครนซึ่งเริ่มประมาณ 14:52 น. ในวันที่ 23 กุมภาพันธ์rd, 2022 UTC. เป็นไปตามการปฏิเสธการให้บริการแบบกระจาย (DDoS) โจมตีเว็บไซต์หลักของยูเครน และนำหน้าการรุกรานของกองทัพรัสเซียภายในเวลาไม่กี่ชั่วโมง
การโจมตีแบบทำลายล้างเหล่านี้ใช้ประโยชน์จากองค์ประกอบอย่างน้อยสามส่วน:
- HermeticWiper: ทำให้ระบบใช้งานไม่ได้โดยทำให้ข้อมูลเสียหาย
- HermeticWizard: กระจาย HermeticWiper ผ่านเครือข่ายท้องถิ่นผ่าน WMI และ SMB
- ลึกลับRansom: ransomware เขียนด้วย Go
HermeticWiper ถูกพบในระบบหลายร้อยระบบในองค์กรของยูเครนอย่างน้อยห้าแห่ง
กุมภาพันธ์ 24thในปี 2022 เราตรวจพบไวเปอร์ใหม่ในเครือข่ายของรัฐบาลยูเครน เราตั้งชื่อว่า IsaacWiper และขณะนี้เรากำลังประเมินลิงก์ (ถ้ามี) กับ HermeticWiper สิ่งสำคัญคือต้องสังเกตว่ามีให้เห็นในองค์กรที่เป็น ไม่ ได้รับผลกระทบจาก HermeticWiper
การแสดงที่มา
ณ จุดนี้ เราไม่พบการเชื่อมต่อที่จับต้องได้กับผู้คุกคามที่รู้จัก HermeticWiper, HermeticWizard และ HermeticRansom จะไม่แชร์โค้ดที่มีความคล้ายคลึงกันอย่างมีนัยสำคัญกับตัวอย่างอื่นๆ ในคอลเล็กชันมัลแวร์ ESET IsaacWiper ก็ยังไม่มีการระบุแหล่งที่มาเช่นกัน
ปฏิบัติการ
HermeticWiper และ HermeticWizard ได้รับการลงนามโดยใบรับรองการลงนามรหัส (แสดงในรูปที่ 1) ที่กำหนดให้กับ เฮอร์เมติกา ดิจิตอล จำกัด ออกเมื่อ 13 เมษายนth, 2021 เราขอให้ CA (DigiCert) ที่ออกใบรับรองเพิกถอนใบรับรองซึ่งทำเมื่อวันที่ 24 กุมภาพันธ์th, 2022
ตาม รายงานโดย Reutersดูเหมือนว่าใบรับรองนี้ไม่ได้ถูกขโมยจาก Hermetica Digital มีแนวโน้มว่าผู้โจมตีจะปลอมตัวเป็น บริษัท Cypriot แทนเพื่อรับใบรับรองนี้จาก DigiCert
นักวิจัยของ ESET ประเมินด้วยความมั่นใจอย่างสูงว่าองค์กรที่ได้รับผลกระทบถูกบุกรุกอย่างดีล่วงหน้าก่อนการติดตั้งไวเปอร์ ขึ้นอยู่กับข้อเท็จจริงหลายประการ:
- การประทับเวลาการรวบรวม HermeticWiper PE ซึ่งเก่าแก่ที่สุดคือวันที่ 28 ธันวาคมth, 2021
- วันที่ออกใบรับรองการเซ็นรหัสวันที่ 13 เมษายนth, 2021
- การปรับใช้ HermeticWiper ผ่าน GPO อย่างน้อยหนึ่งอินสแตนซ์แสดงให้เห็นว่าผู้โจมตีเข้าถึงเซิร์ฟเวอร์ Active Directory ของเหยื่อรายใดรายหนึ่งก่อน
สรุปเหตุการณ์ในไทม์ไลน์ในรูปที่ 2
การเข้าถึงเบื้องต้น
HermeticWiper
ขณะนี้ไม่รู้จักเวกเตอร์การเข้าถึงเริ่มต้น แต่เราได้สังเกตเห็นสิ่งประดิษฐ์ของการเคลื่อนไหวด้านข้างภายในองค์กรเป้าหมาย ในเอนทิตีหนึ่ง Wiper ถูกปรับใช้ผ่านนโยบายโดเมนเริ่มต้น (GPO) ดังที่แสดงโดยเส้นทางบนระบบ:
C:Windowssystem32GroupPolicyDataStoresysvol<redacted>Policies{31B2F340-016D-11D2-945F-00C04FB984F9}Machinecc.exe
ซึ่งบ่งชี้ว่าผู้โจมตีน่าจะเข้าควบคุมเซิร์ฟเวอร์ Active Directory
ในกรณีอื่นๆ เป็นไปได้ว่า อิมแพ็คเก็ต ถูกใช้เพื่อปรับใช้ HermeticWiper ไซแมนเทค โพสต์บล็อก ระบุว่า Wiper ถูกปรับใช้โดยใช้บรรทัดคำสั่งต่อไปนี้:
cmd.exe /Q /c ย้าย CSIDL_SYSTEM_DRIVEtempsys.tmp1 CSIDL_WINDOWSpolicydefinitionspostgresql.exe 1> \127.0.0.1ADMIN$__1636727589.6007507 2>&1
ส่วนสุดท้ายเหมือนกับพฤติกรรมเริ่มต้นใน Impacket's wmiexec.pyพบเมื่อ GitHub.
สุดท้าย เวิร์มแบบกำหนดเองที่เราตั้งชื่อว่า HermeticWizard ถูกใช้เพื่อกระจาย HermeticWiper ทั่วเครือข่ายที่ถูกบุกรุกผ่าน SMB และ WMI
ไอแซกไวเปอร์
ขณะนี้ยังไม่ทราบเวกเตอร์การเข้าถึงเริ่มต้น มีแนวโน้มว่าผู้โจมตีจะใช้เครื่องมือเช่น Impacket เพื่อเคลื่อนที่ไปทางด้านข้าง ในเครื่องบางเครื่องเรายังสังเกตเห็น รีมคอมซึ่งเป็นเครื่องมือการเข้าถึงระยะไกลที่ปรับใช้พร้อมกับ IsaacWiper
การวิเคราะห์ทางเทคนิค
HermeticWiper
HermeticWiper เป็นระบบปฏิบัติการ Windows ที่มีไดรเวอร์สี่ตัวที่ฝังอยู่ในทรัพยากร เป็นไดรเวอร์ที่ถูกต้องตามกฎหมายจากซอฟต์แวร์ EaseUS Partition Master ที่ลงนามโดย เฉิงตู YIWO Tech Development Co.และใช้การดำเนินการดิสก์ระดับต่ำ มีการสังเกตไฟล์ต่อไปนี้:
- 0E84AFF18D42FC691CB1104018F44403C325AD21: ไดรเวอร์ x64
- 379FF9236F0F72963920232F4A0782911A6BD7F7: ไดรเวอร์ x86
- 87BD9404A68035F8D70804A5159A37D1EB0A3568: ไดรเวอร์ x64 XP
- B33DD3EE12F9E6C150C964EA21147BF6B7F7AFA9: ไดรเวอร์ x86 XP
ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ ไดรเวอร์หนึ่งในสี่ตัวนั้นจะถูกเลือกและปล่อยใน C:WindowsSystem32drivers<4 ตัวอักษรสุ่ม>.sys. มันถูกโหลดโดยการสร้างบริการ
จากนั้น HermeticWiper จะดำเนินการโดยปิดใช้งาน Volume Shadow Copy Service (VSS) และล้างข้อมูลออกจากดิสก์โดยเขียนทับไฟล์ของตัวเองด้วยไบต์สุ่ม มาตรการต่อต้านนิติวิทยาศาสตร์นี้มีแนวโน้มที่จะป้องกันการวิเคราะห์ไวเปอร์ในการวิเคราะห์หลังเหตุการณ์
เป็นที่น่าสนใจที่จะทราบว่าการดำเนินการไฟล์ส่วนใหญ่ดำเนินการในระดับต่ำโดยใช้ อุปกรณ์IoControl โทร
ตำแหน่งต่อไปนี้ถูกเขียนทับด้วยไบต์สุ่มที่สร้างโดยฟังก์ชัน Windows API CryptGenสุ่ม:
- มาสเตอร์บูตเรคคอร์ด (MBR)
- ตารางไฟล์หลัก (MFT)
- $ บิตแมป และ $ LogFile บนไดรฟ์ทั้งหมด
- ไฟล์ที่มีรีจิสตรีคีย์ (เอ็นทูเซอร์*)
- C:WindowsSystem32winevtLogs
นอกจากนี้ยังล้างโฟลเดอร์และไฟล์แบบเรียกซ้ำใน Windows, ไฟล์โปรแกรม, ไฟล์โปรแกรม (x86), PerfLogs, รองเท้า, ระบบสารสนเทศระดับเสียงและ AppData โฟลเดอร์โดยใช้ a FSCTL_MOVE_FILE การดำเนินการ. เทคนิคนี้ดูค่อนข้างผิดปกติและคล้ายกับที่ใช้ใน โครงการ Windows Wipe บน GitHub (โปรดดู เช็ด_extent_by_defrag การทำงาน). นอกจากนี้ยังเช็ดลิงก์สัญลักษณ์และไฟล์ขนาดใหญ่ใน เอกสารของฉัน และ เดสก์ทอป โฟลเดอร์โดยเขียนทับด้วยไบต์สุ่ม
ในที่สุด เครื่องจะรีสตาร์ท อย่างไรก็ตาม จะไม่สามารถบู๊ตได้ เนื่องจาก MBR, MFT และไฟล์ส่วนใหญ่ถูกล้าง เราเชื่อว่าเป็นไปไม่ได้ที่จะกู้คืนเครื่องจักรที่ได้รับผลกระทบ
HermeticWizard
มองหาตัวอย่างอื่นๆ ที่ลงนามโดยใบรับรองการเซ็นโค้ดเดียวกัน (เฮอร์เมติกา ดิจิตอล จำกัด) เราพบมัลแวร์ตระกูลใหม่ที่เราตั้งชื่อว่า HermeticWizard
เป็นเวิร์มที่ถูกนำไปใช้กับระบบในยูเครน เวลา 14:52:49 น. วันที่ 23 กุมภาพันธ์rd, 2022 UTC. เป็นไฟล์ DLL ที่พัฒนาใน C ++ ที่ส่งออกฟังก์ชัน ติดตั้ง Dll, DllRegisterServerและ DllUnregisterServer.dll ยกเลิกการลงทะเบียนเซิร์ฟเวอร์. ชื่อ DLL การส่งออกคือ Wizard.dll. ประกอบด้วยทรัพยากรสามอย่าง ซึ่งเป็นไฟล์ PE ที่เข้ารหัส:
- ตัวอย่างของ HermeticWiper (912342F1C840A42F6B74132F8A7C4FFE7D40FB77)
- exec_32.dll, รับผิดชอบในการแพร่กระจายไปยังคอมพิวเตอร์ท้องถิ่นอื่น ๆ ผ่าน WMI (6B5958BFABFE7C731193ADB96880B225C8505B73)
- Romance.dll, รับผิดชอบการแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นผ่าน SMB (AC5B6F16FC5115F0E2327A589246BA00B41439C2)
ทรัพยากรได้รับการเข้ารหัสด้วยการวนซ้ำ XOR แบบย้อนกลับ แต่ละบล็อกที่มีสี่ไบต์ XORed กับบล็อกก่อนหน้า ในที่สุดบล็อกแรกคือ XORed ด้วยค่าฮาร์ดโค้ด 0x4A29B1A3.
HermeticWizard เริ่มทำงานโดยใช้บรรทัดคำสั่ง regsvr32.exe /s /i.
อันดับแรก HermeticWizard พยายามค้นหาเครื่องอื่นในเครือข่ายท้องถิ่น รวบรวมที่อยู่ IP ในเครื่องที่รู้จักโดยใช้ฟังก์ชัน Windows ต่อไปนี้:
- DNSGetCacheDataTable
- GetIpNetTable
- WNetOpenEnumW (RESOURCE_GLOBALNET, RESOURCETYPE_ANY)
- NetServerEnum
- รับTcpTable
- GetAdaptersAddresses
จากนั้นจะพยายามเชื่อมต่อกับที่อยู่ IP เหล่านั้น (และเฉพาะในกรณีที่เป็นที่อยู่ IP ในเครื่อง) เพื่อดูว่ายังสามารถเข้าถึงได้หรือไม่ ในกรณีที่ -s มีการให้อาร์กิวเมนต์เมื่อเริ่ม HermeticWizard (regsvr32.exe /s /i:-s) นอกจากนี้ยังสแกนช่วงเต็ม /24 ดังนั้น ถ้า 192.168.1.5 พบในแคช DNS เพิ่มขึ้นจาก 192.168.1.1 ไปยัง 192.168.1.254. สำหรับแต่ละที่อยู่ IP จะพยายามเปิดการเชื่อมต่อ TCP บนพอร์ตต่อไปนี้:
- 20: ftp
- 21: ftp
- 22: สช
- 80: http
- 135: รอบต่อนาที
- 137: เน็ตไบออส
- 139: นิดหน่อย
- 443: https
- 445: นิดหน่อย
พอร์ตต่างๆ จะถูกสแกนแบบสุ่ม ดังนั้นจึงไม่สามารถพิมพ์ลายนิ้วมือการรับส่งข้อมูล HermeticWizard ด้วยวิธีนี้ได้
เมื่อพบเครื่องที่เข้าถึงได้ จะลด WMI spreader (รายละเอียดด้านล่าง) ลงบนดิสก์และสร้างกระบวนการใหม่ด้วยบรรทัดคำสั่ง rundll32 <6 ตัวอักษรสุ่ม>.ocx #1 -s - ฉัน.
มันทำเช่นเดียวกันกับตัวกระจาย SMB (รายละเอียดด้านล่าง) ที่ถูกทิ้งใน <6 ตัวอักษรสุ่ม>.ocxแต่มีตัวอักษรสุ่มต่างกัน
ในที่สุดก็หยด HermeticWiper ใน <6 ตัวอักษรสุ่ม>.ocx และดำเนินการมัน
เครื่องกระจาย WMI
WMI spreader ตั้งชื่อโดยนักพัฒนา exec_32.dllรับสองอาร์กิวเมนต์:
- -i: ที่อยู่ IP เป้าหมาย
- -s: ไฟล์ที่จะคัดลอกและดำเนินการบนเครื่องเป้าหมาย
ขั้นแรก สร้างการเชื่อมต่อกับรีโมท ADMIN $ ส่วนแบ่งของเป้าหมายโดยใช้ WNetAddConnection2W. ไฟล์ที่ให้ไว้ใน -s อาร์กิวเมนต์จะถูกคัดลอกโดยใช้ คัดลอกไฟล์W. ไฟล์ระยะไกลมีชื่อสุ่มที่สร้างด้วย CoCreateGUID (เช่น, cB9F06408D8D2.dll) และรูปแบบสตริง c%02X%02X%02X%02X%02X%02X.
ประการที่สอง มันพยายามรันไฟล์ที่คัดลอก HermeticWizard บนเครื่องระยะไกลโดยใช้ DCOM มันเรียก CoCreateInstance กับ CLSID_WbemLocator เป็นข้อโต้แย้ง จากนั้นจึงใช้ WMI Win32_กระบวนการ เพื่อสร้างกระบวนการใหม่บนเครื่องระยะไกลด้วยบรรทัดคำสั่ง C:windowssystem32cmd.exe /c start C:windowssystem32\regsvr32.exe /s /i C:windows .dll.
โปรดทราบว่า -s อาร์กิวเมนต์จะไม่ถูกส่งผ่านไปยัง HermeticWizard ซึ่งหมายความว่าจะไม่สแกนเครือข่ายท้องถิ่นอีกครั้งจากเครื่องใหม่ที่ถูกบุกรุก
หากเทคนิค WMI ล้มเหลว จะพยายามสร้างบริการโดยใช้ OpenRemoteServiceManager ด้วยคำสั่งเดียวกับข้างบน
หากดำเนินการ DLL ระยะไกลสำเร็จไม่ว่าจะด้วยวิธีใดก็ตาม โปรแกรมจะพักการทำงานจนกว่าจะสามารถลบไฟล์ระยะไกลได้
เครื่องกระจาย SMB
SMB spreader ตั้งชื่อโดยนักพัฒนา Romance.dllรับสองอาร์กิวเมนต์เดียวกันกับตัวกระจาย WMI ชื่อภายในน่าจะอ้างอิงถึงการหาประโยชน์จาก EternalRomance แม้ว่าจะไม่ได้ใช้ประโยชน์จากช่องโหว่ใดๆ ก็ตาม
ขั้นแรก พยายามเชื่อมต่อกับไพพ์ต่อไปนี้บนการแชร์ SMB ระยะไกล (บนพอร์ต 445):
- สมร
- เบราว์เซอร์
- เน็ตล็อกออน
- ลซาร์พีซี
- ntsvcs
- svcctl
ท่อเหล่านี้เป็นท่อที่ใช้ในการเคลื่อนที่ด้านข้าง ตัวกระจายมีรายการของข้อมูลประจำตัวแบบฮาร์ดโค้ดที่ใช้ในการพยายามรับรองความถูกต้องผ่าน NTLMSSP ไปยัง SMB ที่ใช้ร่วมกัน:
— ชื่อผู้ใช้ —
ผู้เข้าพัก
ทดสอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
ราก
ผู้บริหาร
ผู้จัดการ
ผู้ประกอบการ
— รหัสผ่าน —
123
กัซ123
Qwerty123
รายการข้อมูลรับรองนี้สั้นจนน่าประหลาดใจและไม่น่าจะใช้ได้กับเครือข่ายที่มีการป้องกันต่ำที่สุด
หากการเชื่อมต่อสำเร็จ จะพยายามปล่อยไปที่เป้าหมาย ADMIN $ แชร์ ไฟล์ที่อ้างอิงโดย -s ข้อโต้แย้ง. สำหรับตัวกระจาย WMI ชื่อไฟล์ระยะไกลจะถูกสร้างขึ้นโดยการเรียกไปยัง CoCreateInstance.
จากนั้นดำเนินการผ่าน SMB บรรทัดคำสั่ง
ลึกลับRansom
นักวิจัยของ ESET ยังสังเกตเห็น HermeticRansom – ransomware ที่เขียนในภาษา Go – ถูกใช้ในยูเครนพร้อมกับแคมเปญ HermeticWiper HermeticRansom ได้รับรายงานครั้งแรกในช่วงเช้าของวันที่ 24 กุมภาพันธ์th, 2022 UTC ใน tweet จาก AVAST การวัดและส่งข้อมูลทางไกลของเราแสดงการปรับใช้ที่น้อยกว่ามากเมื่อเทียบกับ HermeticWiper แรนซัมแวร์นี้ถูกปรับใช้พร้อมกับ HermeticWiper ซึ่งอาจใช้เพื่อซ่อนการกระทำของไวเปอร์ บนเครื่องหนึ่ง สังเกตไทม์ไลน์ต่อไปนี้:
- 2022-02-23 17:49:55 UTC: HermeticWiper ใน C:WindowsTempcc.exe นำไปใช้
- 2022-02-23 18:06:57 UTC: ค่าไถ่ลึกลับใน C:WindowsTempcc2.exe นำไปใช้โดย netsvcs บริการ
- 2022-02-23 18:26:07 UTC: HermeticWiper ที่สองใน C:Userscom.exe นำไปใช้
มีอยู่ครั้งหนึ่ง เราสังเกตว่า HermeticRansom ถูกปรับใช้ผ่าน GPO เช่นเดียวกับ HermeticWiper:
C:WINDOWSsystem32GroupPolicyDataStoresysvol<redacted>Policies{31B2F340-016D-11D2-945F-00C04FB984F9}Machinecpin.exe
ผู้โจมตีเหลือสายอักขระสองสามตัวไว้ในไบนารี พวกเขาอ้างถึงประธานาธิบดีสหรัฐ Biden และทำเนียบขาว:
- _/C_/projects/403forBiden/wHiteHousE.baggageGatherings
- _/C_/projects/403forBiden/wHiteHousE.lookUp
- _/C_/projects/403forBiden/wHiteHousE.primaryElectionProcess
- _/C_/projects/403forBiden/wHiteHousE.GoodOffice1
เมื่อไฟล์ถูกเข้ารหัสแล้ว ข้อความในรูปที่ 3 จะแสดงให้เหยื่อเห็น
ไอแซกไวเปอร์
IsaacWiper พบได้ใน Windows DLL หรือ EXE ที่ไม่มีลายเซ็นรับรองความถูกต้อง มันปรากฏใน telemetry ของเราเมื่อ 24 กุมภาพันธ์th, 2022 ตามที่กล่าวไว้ก่อนหน้านี้ การประทับเวลาการรวบรวม PE ที่เก่าที่สุดที่เราพบคือ 19 ตุลาคมth, 2021 ซึ่งหมายความว่าหากไม่มีการประทับเวลาการรวบรวม PE ของมัน IsaacWiper อาจถูกใช้ในการดำเนินงานก่อนหน้าหลายเดือนก่อนหน้านี้
สำหรับตัวอย่าง DLL ชื่อในไดเร็กทอรีการส่งออก PE คือ Cleaner.dll และมีการส่งออกเดียว _เริ่ม@4.
เราได้สังเกต IsaacWiper ใน %ข้อมูลโปรแกรม% และ C: WindowsSystem32 ภายใต้ชื่อไฟล์ต่อไปนี้:
- clean.exe
- cl.exe
- cl64.dll
- cld.dll
- cll.dll
ไม่มีความคล้ายคลึงของรหัสกับ HermeticWiper และซับซ้อนน้อยกว่า จากไทม์ไลน์ อาจเป็นไปได้ว่าทั้งคู่มีความเกี่ยวข้องกัน แต่เรายังไม่พบการเชื่อมต่อที่แข็งแกร่ง
IsaacWiper เริ่มต้นด้วยการระบุไดรฟ์จริงและการเรียก อุปกรณ์IoControl กับ IOCTL IOCTL_STORAGE_GET_DEVICE_NUMBER เพื่อรับหมายเลขอุปกรณ์ จากนั้นจะล้าง 0x10000 ไบต์แรกของแต่ละดิสก์โดยใช้ ISAAC เครื่องกำเนิดสุ่มเทียม เครื่องกำเนิดถูกเพาะโดยใช้ GetTickCount มูลค่า
จากนั้นจะระบุโลจิคัลไดรฟ์และล้างทุกไฟล์ซ้ำๆ ของดิสก์แต่ละดิสก์ด้วยไบต์สุ่มที่สร้างโดย ISAAC PRNG เป็นที่น่าสนใจที่จะทราบว่าจะล้างไฟล์ซ้ำๆ ในเธรดเดียว ซึ่งหมายความว่าจะใช้เวลานานในการล้างดิสก์ขนาดใหญ่
กุมภาพันธ์ 25thในปี 2022 ผู้โจมตีได้ปล่อย IsaacWiper เวอร์ชันใหม่พร้อมบันทึกการดีบัก ซึ่งอาจบ่งชี้ว่าผู้โจมตีไม่สามารถล้างข้อมูลเครื่องเป้าหมายบางเครื่องและเพิ่มข้อความบันทึกเพื่อทำความเข้าใจว่าเกิดอะไรขึ้น บันทึกจะถูกเก็บไว้ใน C:ProgramDatalog.txt และข้อความบันทึกบางส่วนได้แก่:
- รับไดรฟ์...
- เริ่มลบฟิสิคัลไดรฟ์…
- –– เริ่มลบไดรฟ์ลอจิคัล
- เริ่มลบฟิสิคัลไดรฟ์ของระบบ…
- ฟิสิคัลไดรฟ์ของระบบ –– FAILED
- เริ่มการลบไดรฟ์ลอจิคัลของระบบ
สรุป
รายงานนี้ให้รายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์ที่ทำลายล้างซึ่งส่งผลกระทบต่อองค์กรของยูเครนเมื่อวันที่ 23 กุมภาพันธ์rd, 2022 และการโจมตีครั้งที่สองที่ส่งผลกระทบต่อองค์กรยูเครนอื่นตั้งแต่วันที่ 24 กุมภาพันธ์th ผ่าน 26thพ.ศ. 2022 ณ จุดนี้ เราไม่มีข้อบ่งชี้ว่าประเทศอื่นตกเป็นเป้าหมาย
อย่างไรก็ตาม เนื่องจากวิกฤตการณ์ในยูเครนในปัจจุบัน ยังคงมีความเสี่ยงที่ผู้คุกคามแบบเดียวกันจะเปิดตัวแคมเปญเพิ่มเติมเพื่อต่อต้านประเทศที่สนับสนุนรัฐบาลยูเครนหรือคว่ำบาตรหน่วยงานของรัสเซีย
ไอโอซี
SHA-1 | ชื่อไฟล์ | ชื่อการตรวจจับ ESET | รายละเอียด |
---|---|---|---|
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 | com.exe | Win32/KillDisk.NCV | HermeticWiper |
61B25D11392172E587D8DA3045812A66C3385451 | conhosts.exe | Win32/KillDisk.NCV | HermeticWiper |
3C54C9A49A8DDCA02189FE15FEA52FE24F41A86F | c9EEAF78C9A12.dat | Win32/GenCBL.BSP | HermeticWizard |
F32D791EC9E6385A91B45942C230F52AFF1626DF | cc2.exe | WinGo/Filecoder.BK | ลึกลับRansom |
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 | cl64.dll | Win32/KillMBR.NHP | ไอแซกไวเปอร์ |
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 | cld.dll | Win32/KillMBR.NHQ | ไอแซกไวเปอร์ |
E9B96E9B86FAD28D950CA428879168E0894D854F | clean.exe | Win32/KillMBR.NHP | ไอแซกไวเปอร์ |
23873BF2670CF64C2440058130548D4E4DA412DD | XqoYMlBX.exe | Win32/RiskWare.RemoteAdmin.RemoteExec.AC | เครื่องมือการเข้าถึงระยะไกล RemCom ที่ถูกต้องตามกฎหมาย |
เทคนิค MITER ATT&CK
ตารางนี้ถูกสร้างขึ้นโดยใช้ 10 รุ่น ของกรอบงาน MITER ATT&CK
ชั้นเชิง | ID | Name | รายละเอียด |
---|---|---|---|
การพัฒนาทรัพยากร | T1588.002 | รับความสามารถ: เครื่องมือ | ผู้โจมตีใช้ RemCom และอาจ Impacket เป็นส่วนหนึ่งของแคมเปญ |
T1588.003 | รับความสามารถ: ใบรับรองการลงนามรหัส | ผู้โจมตีได้รับใบรับรองการลงนามรหัสสำหรับแคมเปญของพวกเขา | |
การเข้าถึงเบื้องต้น | T1078.002 | บัญชีที่ถูกต้อง: บัญชีโดเมน | ผู้โจมตีสามารถติดตั้งไวเปอร์มัลแวร์ผ่าน GPO |
การกระทำ | T1059.003 | ล่ามคำสั่งและสคริปต์: Windows Command Shell | ผู้โจมตีใช้บรรทัดคำสั่งระหว่างการโจมตี (เช่น การใช้ Impacket ที่เป็นไปได้) |
T1106 | API ดั้งเดิม | ผู้โจมตีใช้ API ดั้งเดิมในมัลแวร์ | |
T1569.002 | บริการระบบ: การดำเนินการบริการ | HermeticWiper ใช้ไดรเวอร์ที่โหลดเป็นบริการเพื่อทำให้ข้อมูลเสียหาย | |
T1047 | ของ Windows Management Instrumentation | HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ WMI | |
การค้นพบ | T1018 | การค้นพบระบบระยะไกล | HermeticWizard สแกนช่วง IP ในเครื่องเพื่อค้นหาเครื่องในพื้นที่ |
การเคลื่อนไหวด้านข้าง | T1021.002 | บริการระยะไกล: แชร์ผู้ดูแลระบบ SMB/Windows | HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ SMB |
T1021.003 | บริการระยะไกล: โมเดลออบเจ็กต์คอมโพเนนต์แบบกระจาย | HermeticWizard พยายามแพร่กระจายไปยังคอมพิวเตอร์ในพื้นที่โดยใช้ WbemLocator เพื่อเริ่มกระบวนการใหม่จากระยะไกลผ่าน WMI | |
ส่งผลกระทบ | T1561.002 | การล้างข้อมูลบนดิสก์: การล้างโครงสร้างดิสก์ | HermeticWiper ทำลายข้อมูลใน MBR และ MFT ของระบบ |
T1561.001 | การล้างข้อมูลบนดิสก์: การล้างเนื้อหาดิสก์ | HermeticWiper ทำให้ไฟล์เสียหายใน Windows, ไฟล์โปรแกรม, ไฟล์โปรแกรม (x86), PerfLogs, รองเท้า, ระบบสารสนเทศระดับเสียงและ AppData. | |
T1485 | การทำลายข้อมูล | HermeticWiper ทำลายข้อมูลผู้ใช้ที่พบในระบบ | |
T1499.002 | การปฏิเสธบริการปลายทาง: น้ำท่วมบริการหมด | ด้วยการใช้การโจมตี DDoS ผู้โจมตีทำให้เว็บไซต์ของรัฐบาลจำนวนหนึ่งไม่สามารถใช้งานได้ |