研究者らは、2022年XNUMX月のロシアによるウクライナ侵攻の直前に、ウクライナの衛星ブロードバンドサービスを妨害するためにロシア軍事諜報機関によって使用された、より危険で多量のワイパーマルウェアのバージョンを発見した。
新しいバリエーション「酸注ぎ、」は、前作と複数の類似点がありますが、MIPS ベースのシステムを対象とした AcidRain とは異なり、X86 アーキテクチャ用にコンパイルされています。この脅威を発見した SentinelOne の研究者によると、新しいワイパーには、AcidRain よりもはるかに広範囲のターゲットに対して使用するための機能も含まれています。
より幅広い破壊能力
「AcidPour の拡張された破壊的機能には、Linux Unsorted Block Image (UBI) および Device Mapper (DM) ロジックが含まれており、これはハンドヘルド、IoT、ネットワーク、場合によっては ICS デバイスに影響を与えます」と SentinelOne の上級脅威研究者である Tom Hegel 氏は述べています。 「ストレージ エリア ネットワーク (SAN)、ネットワーク接続ストレージ (NAS)、専用 RAID アレイなどのデバイスも、AcidPour の影響を受けるようになりました。」
AcidPour のもう 1 つの新機能は、感染したシステムからマルウェアの痕跡をすべて消去する自己削除機能です、とヘーゲル氏は言います。同氏によると、AcidPourは全体としてAcidRainよりも比較的洗練されたワイパーであり、後者の全体的なずさんさの例として、プロセスフォークの過度の使用と特定の操作の不当な繰り返しを挙げている。
SentinelOne は、2022 年 XNUMX 月にサイバー攻撃を受けて AcidRain を発見しました。 約10,000台の衛星モデムがオフラインになった 通信プロバイダー Viasat の KA-SAT ネットワークに関連付けられています。この攻撃により、ウクライナの数千の顧客とヨーロッパの数万人の消費者向けブロードバンド サービスが中断されました。 SentinelOne は、このマルウェアは、ロシアの活動である Sandworm (別名 APT 28、Fancy Bear、Sofacy) に関連するグループの仕業である可能性が高いと結論付けました。 数々の破壊的なサイバー攻撃 ウクライナで。
SentinelOne の研究者は、16 月 XNUMX 日に新しい亜種である AcidPour を初めて発見しましたが、実際の攻撃でこれを使用している人はまだ観察されていません。
サンドワームネクタイ
ワイパーの最初の分析では、AcidRain との複数の類似点が明らかになり、その後の詳細な調査でそれが確認されました。 SentinelOne が発見した注目すべき重複には、AcidPour が AcidRain と同じ再起動メカニズムを使用していること、および再帰的なディレクトリ消去のための同一のロジックが含まれます。
SentinelOne は、AcidPour の IOCTL ベースのワイピング メカニズムが、AcidRain および VPNFilter のワイピング メカニズムと同じであることも発見しました。 モジュール型攻撃プラットフォーム 米国司法省が持っているもの サンドワームとリンク。 IOCTL は、特定のコマンドをストレージ デバイスに送信することで、ストレージ デバイスからデータを安全に消去または消去するためのメカニズムです。
「AcidPour の最も興味深い側面の 1 つは、プラグマティックなコードを彷彿とさせるコーディング スタイルです。 キャディーワイパー のような注目すべきマルウェアと並んで、ウクライナの標的に対して広く利用されています。 インダストリー 2」とSentinelOneは言いました。 CaddyWiper と Industroyer 2 はどちらも、ロシアが 2022 年 XNUMX 月にウクライナに侵攻する前から、ロシアの支援を受けた国家グループがウクライナの組織に対する破壊的な攻撃に使用したマルウェアです。
SentinelOne によると、ウクライナの CERT は AcidPour を分析し、Sandworm グループの一員である脅威アクターである UAC-0165 が原因であると考えました。
AcidPour と AcidRain は、近年、特に両国間での現在の戦争開始後、ロシアの関係者がウクライナの標的に対して配備した数多くのワイパーの 1 つです。 Viasat 攻撃では、攻撃者が数千台のモデムをオフラインに陥れたにもかかわらず、同社はマルウェアを削除した後、モデムを回復して再導入することができました。
ただし、他の多くの場合、組織はワイパー攻撃を受けてシステムの廃棄を余儀なくされています。最も注目すべき例の 2012 つは XNUMX 年です。 シャムーン サウジアラムコに対するワイパー攻撃により、同社の約 30,000 台のシステムが機能不全に陥りました。
Shamoon や AcidRain の場合と同様、通常、攻撃者は効果を発揮するためにワイパーを洗練させる必要はありません。なぜなら、このマルウェアの唯一の機能は、システム上のデータを上書きまたは削除して、システムを使用できなくすることだからです。 回避戦術 また、データ盗難やサイバースパイ攻撃に関連する難読化技術も必要ありません。
ワイパーに対する最善の防御、またはワイパーによる被害を制限するための最善の防御策は、ランサムウェアに対する防御と同じ種類の防御を実装することです。つまり、重要なデータのバックアップを用意し、堅牢なインシデント対応計画と機能を確保する必要があります。
ネットワークのセグメンテーションも重要です。ワイパーは他のシステムに拡散できるとより効果的になるため、この種の防御態勢は横方向の動きを阻止するのに役立ちます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
