Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

APT của Nga phát hành thêm biến thể nguy hiểm của phần mềm độc hại AcidRain Wiper

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 89

Các nhà nghiên cứu đã phát hiện ra một phiên bản nguy hiểm hơn và phổ biến hơn của phần mềm độc hại xóa sạch được tình báo quân đội Nga sử dụng để làm gián đoạn dịch vụ băng thông rộng vệ tinh ở Ukraine ngay trước khi Nga xâm chiếm nước này vào tháng 2022 năm XNUMX.

Biến thể mới, “Đổ axit,” mang nhiều điểm tương đồng với phiên bản tiền nhiệm nhưng được biên dịch cho kiến ​​trúc X86, không giống như AcidRain nhắm vào các hệ thống dựa trên MIPS. Theo các nhà nghiên cứu tại SentinelOne, người đã phát hiện ra mối đe dọa, cần gạt nước mới cũng bao gồm các tính năng để sử dụng nó chống lại phạm vi mục tiêu rộng hơn đáng kể so với AcidRain.

Khả năng hủy diệt rộng hơn

Tom Hegel, nhà nghiên cứu mối đe dọa cấp cao tại SentinelOne, cho biết: “Khả năng phá hoại mở rộng của AcidPour bao gồm logic Hình ảnh khối không phân loại (UBI) và Trình ánh xạ thiết bị (DM) của Linux, tác động đến thiết bị cầm tay, IoT, kết nối mạng hoặc trong một số trường hợp là các thiết bị ICS”. “Các thiết bị như mạng vùng lưu trữ (SAN), bộ lưu trữ gắn mạng (NAS) và mảng RAID chuyên dụng hiện cũng nằm trong phạm vi chịu tác động của AcidPour.”

Hegel cho biết, một khả năng mới khác của AcidPour là chức năng tự xóa giúp xóa tất cả dấu vết của phần mềm độc hại khỏi hệ thống mà nó lây nhiễm. Ông nói, AcidPour là một công cụ gạt nước tương đối phức tạp hơn AcidRain, chỉ ra việc sử dụng quá nhiều quá trình phân nhánh quy trình và sự lặp lại không chính đáng của một số hoạt động nhất định là ví dụ về tính cẩu thả tổng thể của nó.

SentinelOne phát hiện ra AcidRain vào tháng 2022 năm XNUMX sau một cuộc tấn công mạng nhằm vào đánh sập khoảng 10,000 modem vệ tinh được liên kết với mạng KA-SAT của nhà cung cấp dịch vụ truyền thông Viasat. Cuộc tấn công đã làm gián đoạn dịch vụ băng rộng tiêu dùng của hàng nghìn khách hàng ở Ukraine và hàng chục nghìn người ở châu Âu. SentinelOne kết luận rằng phần mềm độc hại có thể là sản phẩm của một nhóm liên quan đến Sandworm (còn gọi là APT 28, Fancy Bear và Sofacy), một nhóm của Nga chịu trách nhiệm về nhiều cuộc tấn công mạng gây rối ở Ukraine

Các nhà nghiên cứu của SentinelOne lần đầu tiên phát hiện ra biến thể mới, AcidPour, vào ngày 16 tháng XNUMX nhưng chưa quan sát thấy ai sử dụng nó trong một cuộc tấn công thực sự.

Cà vạt giun cát

Phân tích ban đầu của họ về cần gạt nước cho thấy nhiều điểm tương đồng với AcidRain - điều mà lần lặn sâu hơn sau đó đã xác nhận. Sự trùng lặp đáng chú ý mà SentinelOne phát hiện bao gồm việc AcidPour sử dụng cơ chế khởi động lại tương tự như AcidRain và logic giống hệt để xóa thư mục đệ quy.

SentinelOne cũng nhận thấy cơ chế xóa dựa trên IOCTL của AcidPour giống với cơ chế xóa trong AcidRain và trong VPNFilter, một nền tảng tấn công mô-đun mà Bộ Tư pháp Hoa Kỳ có liên kết với Sandworm. IOCTL là cơ chế xóa hoặc xóa dữ liệu khỏi thiết bị lưu trữ một cách an toàn bằng cách gửi các lệnh cụ thể đến thiết bị.

“Một trong những khía cạnh thú vị nhất của AcidPour là phong cách mã hóa của nó, gợi nhớ đến tính thực dụng CaddyGạt nước được sử dụng rộng rãi để chống lại các mục tiêu ở Ukraine cùng với phần mềm độc hại đáng chú ý như Công nghiệp 2,” SentinelOne nói. Cả CaddyWiper và Industroyer 2 đều là phần mềm độc hại được các nhóm nhà nước được Nga hậu thuẫn sử dụng trong các cuộc tấn công phá hoại nhằm vào các tổ chức ở Ukraine, ngay cả trước cuộc xâm lược nước này vào tháng 2022 năm XNUMX của Nga.

SentinelOne cho biết CERT của Ukraine đã phân tích AcidPour và quy cho UAC-0165, một tác nhân đe dọa thuộc nhóm Sandworm.

AcidPour và AcidRain nằm trong số rất nhiều công cụ gạt nước mà các tác nhân Nga đã triển khai để chống lại các mục tiêu của Ukraine trong những năm gần đây — và đặc biệt là sau khi bắt đầu cuộc chiến hiện tại giữa hai nước. Mặc dù tác nhân đe dọa đã cố gắng đánh sập hàng nghìn modem ngoại tuyến trong cuộc tấn công Viasat, công ty vẫn có thể khôi phục và triển khai lại chúng sau khi loại bỏ phần mềm độc hại.

Tuy nhiên, trong nhiều trường hợp khác, các tổ chức buộc phải loại bỏ hệ thống sau một cuộc tấn công xóa sạch. Một trong những ví dụ đáng chú ý nhất là năm 2012 Shamoon cuộc tấn công gạt nước vào Saudi Aramco làm tê liệt khoảng 30,000 hệ thống tại công ty.

Như trường hợp của Shamoon và AcidRain, các tác nhân đe dọa thường không cần phải chế tạo cần gạt nước phức tạp để có hiệu quả. Đó là vì chức năng duy nhất của phần mềm độc hại là ghi đè hoặc xóa dữ liệu khỏi hệ thống và khiến chúng trở nên vô dụng, vì vậy chiến thuật né tránh và các kỹ thuật làm xáo trộn liên quan đến việc đánh cắp dữ liệu và các cuộc tấn công gián điệp mạng là không cần thiết.

Cách bảo vệ tốt nhất cho cần gạt nước — hoặc để hạn chế thiệt hại từ chúng — là triển khai cùng loại biện pháp phòng vệ như đối với phần mềm tống tiền. Điều đó có nghĩa là phải có sẵn các bản sao lưu cho dữ liệu quan trọng và đảm bảo các kế hoạch và khả năng ứng phó sự cố mạnh mẽ.

Phân đoạn mạng cũng rất quan trọng vì cần gạt nước hiệu quả hơn khi chúng có thể lan sang các hệ thống khác, do đó, kiểu tư thế phòng thủ đó sẽ giúp ngăn chặn chuyển động ngang.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.