Forskere har avdekket en farligere og mer produktiv versjon av viskerskaden som ble brukt av russisk militær etterretning for å forstyrre satellittbredbåndstjenesten i Ukraina like før Russlands invasjon av landet i februar 2022.

Den nye varianten, "AcidPour,” har flere likheter med forgjengeren, men er kompilert for X86-arkitektur, i motsetning til AcidRain som målrettet MIPS-baserte systemer. Den nye viskeren inkluderer også funksjoner for bruk mot et betydelig bredere spekter av mål enn AcidRain, ifølge forskere ved SentinelOne som oppdaget trusselen.

Bredere destruktive evner

"AcidPours utvidede destruktive muligheter inkluderer Linux Unsorted Block Image (UBI) og Device Mapper (DM) logikk, som påvirker håndholdte enheter, IoT, nettverk eller, i noen tilfeller, ICS-enheter," sier Tom Hegel, senior trusselforsker ved SentinelOne. "Enheter som lagringsområdenettverk (SAN), nettverkstilkoblet lagring (NAS) og dedikerte RAID-arrayer er nå også tilgjengelig for AcidPours effekter."

En annen ny funksjon i AcidPour er en selvslettingsfunksjon som sletter alle spor av skadelig programvare fra systemer den infiserer, sier Hegel. AcidPour er en relativt mer sofistikert visker generelt enn AcidRain, sier han, og peker på sistnevntes overdrevne bruk av prosessgaffel og uberettiget gjentakelse av visse operasjoner som eksempler på dens generelle slurv.

SentinelOne oppdaget AcidRain i februar 2022 etter et nettangrep som slått av rundt 10,000 XNUMX satellittmodem tilknyttet kommunikasjonsleverandør Viasats KA-SAT-nettverk. Angrepet forstyrret forbrukernes bredbåndstjeneste for tusenvis av kunder i Ukraina, og til titusenvis av mennesker i Europa. SentinelOne konkluderte med at skadelig programvare sannsynligvis var arbeidet til en gruppe assosiert med Sandworm (aka APT 28, Fancy Bear og Sofacy), en russisk operasjon ansvarlig for mange forstyrrende nettangrep i Ukraina.

SentinelOne-forskere oppdaget først den nye varianten, AcidPour, 16. mars, men har ikke observert noen som bruker den i et faktisk angrep ennå.

Sandormslips

Deres første analyse av viskeren avslørte flere likheter med AcidRain - som et påfølgende dypere dykk deretter bekreftet. De bemerkelsesverdige overlappingene som SentinelOne oppdaget inkluderte AcidPours bruk av den samme omstartsmekanismen som AcidRain, og identisk logikk for rekursiv katalogtørking.

SentinelOne fant også at AcidPours IOCTL-baserte tørkemekanisme var den samme som tørkemekanismen i AcidRain og i VPNFilter, en modulær angrepsplattform som det amerikanske justisdepartementet har knyttet til Sandorm. IOCTL er en mekanisme for sikker sletting eller sletting av data fra lagringsenheter ved å sende spesifikke kommandoer til enheten.

"Et av de mest interessante aspektene ved AcidPour er kodestilen, som minner om den pragmatiske CaddyWiper bredt brukt mot ukrainske mål sammen med bemerkelsesverdig skadelig programvare som Industrispiller 2", sa SentinelOne. Både CaddyWiper og Industroyer 2 er skadelig programvare brukt av Russland-støttede statsgrupper i destruktive angrep på organisasjoner i Ukraina, selv før Russlands invasjon av landet i februar 2022.

Ukrainas CERT har analysert AcidPour og tilskrevet UAC-0165, en trusselaktør som er en del av Sandworm-gruppen, sa SentinelOne.

AcidPour og AcidRain er blant mange vindusviskere som russiske aktører har utplassert mot ukrainske mål de siste årene - og spesielt etter begynnelsen av den nåværende krigen mellom de to landene. Selv om trusselaktøren klarte å slå tusenvis av modemer offline i Viasat-angrepet, klarte selskapet å gjenopprette og omdistribuere dem etter å ha fjernet skadelig programvare.

I mange andre tilfeller har imidlertid organisasjoner blitt tvunget til å forkaste systemer etter et viskerangrep. Et av de mest bemerkelsesverdige eksemplene er 2012 Shamoon vindusviskerangrep på Saudi Aramco som lammet rundt 30,000 XNUMX systemer i selskapet.

Som tilfellet var med Shamoon og AcidRain, har trusselaktører vanligvis ikke trengt å gjøre vindusviskere sofistikerte for å være effektive. Det er fordi den eneste funksjonen til skadevare er å overskrive eller slette data fra systemer og gjøre dem ubrukelige, så unnvikende taktikk og tilsløringsteknikker knyttet til datatyveri og cyberspionasjeangrep er ikke nødvendig.

Det beste forsvaret for vindusviskere - eller å begrense skade fra dem - er å implementere samme type forsvar som for løsepengeprogramvare. Det betyr å ha sikkerhetskopier på plass for kritiske data og sikre robuste hendelsesresponsplaner og -funksjoner.

Nettverkssegmentering er også nøkkelen fordi vindusviskere er mer effektive når de er i stand til å spre seg til andre systemer, slik at den typen forsvarsstilling bidrar til å hindre sidebevegelser.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware