Forskare har avslöjat en farligare och mer produktiv version av torkarskadlig programvara som används av rysk militär underrättelsetjänst för att störa satellitbredbandstjänsten i Ukraina strax före Rysslands invasion av landet i februari 2022.
Den nya varianten, "AcidPour,” har flera likheter med sin föregångare men är kompilerad för X86-arkitektur, till skillnad från AcidRain som riktade sig mot MIPS-baserade system. Den nya torkaren innehåller också funktioner för användning mot ett betydligt bredare utbud av mål än AcidRain, enligt forskare vid SentinelOne som upptäckte hotet.
Bredare destruktiva möjligheter
"AcidPours utökade destruktiva möjligheter inkluderar Linux Unsorted Block Image (UBI) och Device Mapper (DM) logik, som påverkar handdatorer, IoT, nätverk eller, i vissa fall, ICS-enheter", säger Tom Hegel, senior hotforskare på SentinelOne. "Enheter som lagringsområdesnätverk (SAN), nätverksansluten lagring (NAS) och dedikerade RAID-arrayer är också nu tillgängliga för AcidPours effekter."
En annan ny funktion hos AcidPour är en självraderingsfunktion som raderar alla spår av skadlig programvara från system som den infekterar, säger Hegel. AcidPour är en relativt mer sofistikerad torkare överlag än AcidRain, säger han och pekar på den senares överdrivna användning av processgaffel och omotiverade upprepningar av vissa operationer som exempel på dess totala slarv.
SentinelOne upptäckte AcidRain i februari 2022 efter en cyberattack som slog ner omkring 10,000 XNUMX satellitmodem offline kopplat till kommunikationsleverantören Viasats KA-SAT-nät. Attacken störde konsumenternas bredbandstjänster för tusentals kunder i Ukraina och för tiotusentals människor i Europa. SentinelOne drog slutsatsen att skadlig programvara sannolikt var ett verk av en grupp associerad med Sandworm (aka APT 28, Fancy Bear och Sofacy), en rysk verksamhet som ansvarar för många störande cyberattacker i Ukraina.
SentinelOne-forskare upptäckte först den nya varianten, AcidPour, den 16 mars men har ännu inte observerat någon använda den i en verklig attack.
Sandmaskband
Deras första analys av torkaren avslöjade flera likheter med AcidRain - vilket ett efterföljande djupare dyk sedan bekräftade. De anmärkningsvärda överlappningarna som SentinelOne upptäckte inkluderade AcidPours användning av samma omstartmekanism som AcidRain, och identisk logik för rekursiv katalogtorkning.
SentinelOne fann också att AcidPours IOCTL-baserade avtorkningsmekanism var densamma som avtorkningsmekanismen i AcidRain och i VPNFilter, en modulär attackplattform som det amerikanska justitiedepartementet har kopplat till Sandworm. IOCTL är en mekanism för att säkert radera eller torka data från lagringsenheter genom att skicka specifika kommandon till enheten.
"En av de mest intressanta aspekterna av AcidPour är dess kodningsstil, som påminner om den pragmatiska CaddyWiper används i stor utsträckning mot ukrainska mål tillsammans med anmärkningsvärda skadliga program som Industrispelare 2", sa SentinelOne. Både CaddyWiper och Industroyer 2 är skadlig programvara som används av Rysslandsstödda statliga grupper i destruktiva attacker mot organisationer i Ukraina, även före Rysslands invasion av landet i februari 2022.
Ukrainas CERT har analyserat AcidPour och tillskrivit UAC-0165, en hotaktör som är en del av Sandworm-gruppen, sa SentinelOne.
AcidPour och AcidRain är bland många torkare som ryska aktörer har utplacerat mot ukrainska mål under de senaste åren – och särskilt efter början av det pågående kriget mellan de två länderna. Även om hotaktören lyckades slå tusentals modem offline i Viasat-attacken, kunde företaget återställa och distribuera dem efter att ha tagit bort skadlig programvara.
I många andra fall har organisationer dock tvingats kassera system efter en wiper-attack. Ett av de mest anmärkningsvärda exemplen är 2012 Shamoon torkarattack på Saudi Aramco som förlamade cirka 30,000 XNUMX system hos företaget.
Som var fallet med Shamoon och AcidRain, har hotaktörer vanligtvis inte behövt göra torkarna sofistikerade för att vara effektiva. Det beror på att skadlig programvaras enda funktion är att skriva över eller radera data från system och göra dem oanvändbara, så undvikande taktik och fördunklingstekniker i samband med datastöld och cyberspionageattacker är inte nödvändiga.
Det bästa försvaret för torkare - eller att begränsa skador från dem - är att implementera samma typ av försvar som för ransomware. Det innebär att ha säkerhetskopior på plats för kritiska data och att säkerställa robusta incidentresponsplaner och möjligheter.
Nätverkssegmentering är också nyckeln eftersom torkarna är mer effektiva när de kan spridas till andra system, så den typen av försvarsställning hjälper till att motverka sidorörelser.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
