研究人員發現,俄羅斯軍事情報部門在 2022 年 XNUMX 月入侵烏克蘭之前,曾使用該惡意軟體破壞烏克蘭的衛星寬頻服務,該惡意軟體更為危險且多產。
新的變體,“酸傾倒,「 與它的前身有很多相似之處,但它是針對 X86 架構編譯的,不像 AcidRain 是針對基於 MIPS 的系統。據發現該威脅的 SentinelOne 研究人員稱,新型雨刷還具有比 AcidRain 更廣泛的功能,可用於對抗更廣泛的目標。
更廣泛的破壞能力
SentinelOne 資深威脅研究員Tom Hegel 表示:「AcidPour 擴充的破壞性功能包括Linux 未排序區塊映像(UBI) 和裝置映射器(DM) 邏輯,這些邏輯會影響手持裝置、物聯網、網絡,或在某些情況下影響ICS 設備。” “儲存區域網路 (SAN)、網路附加儲存 (NAS) 和專用 RAID 陣列等設備現在也在 AcidPour 的影響範圍內。”
Hegel 說,AcidPour 的另一個新功能是自刪除功能,可以從其感染的系統中刪除惡意軟體的所有痕跡。他說,總體而言,AcidPour 是一個比 AcidRain 更複雜的擦拭器,並指出後者過度使用進程分叉和無端重複某些操作,作為其整體草率的例子。
SentinelOne 在 2022 年 XNUMX 月發生網路攻擊後發現了 AcidRain 約 10,000 個衛星數據機離線 與通訊提供者 Viasat 的 KA-SAT 網路相關。這次攻擊中斷了烏克蘭數千名客戶和歐洲數萬人的消費者寬頻服務。 SentinelOne 的結論是,該惡意軟體很可能是與 Sandworm(又名 APT 28、Fancy Bear 和 Sofacy)相關的組織所為,該組織是一個俄羅斯組織,負責 大量破壞性網路攻擊 在烏克蘭。
SentinelOne 研究人員於 16 月 XNUMX 日首次發現新變種 AcidPour,但尚未觀察到有人在實際攻擊中使用它。
沙蟲領帶
他們對雨刷的初步分析揭示了與 AcidRain 的多種相似之處,隨後的深入研究證實了這一點。 SentinelOne 發現的顯著重疊包括 AcidPour 使用與 AcidRain 相同的重啟機制,以及相同的遞歸目錄擦除邏輯。
SentinelOne 也發現 AcidPour 基於 IOCTL 的擦除機制與 AcidRain 和 VPNFilter 中的擦除機制相同。 模組化攻擊平台 美國司法部已 連結到 沙蟲。 IOCTL 是一種透過向裝置發送特定命令來安全地擦除或擦除儲存裝置中的資料的機制。
「AcidPour 最有趣的方面之一是它的編碼風格,讓人想起務實的 球童刮水器 廣泛用於針對烏克蘭目標以及著名的惡意軟體,例如 工業家 2”,SentinelOne 說。 CaddyWiper 和 Industroyer 2 都是俄羅斯支持的國家組織在俄羅斯 2022 年 XNUMX 月入侵烏克蘭之前就使用的惡意軟體,對烏克蘭的組織進行破壞性攻擊。
SentinelOne 表示,烏克蘭 CERT 分析了 AcidPour,並將其歸因於 UAC-0165,UAC-XNUMX 是 Sandworm 組織的一部分。
AcidPour 和 AcidRain 是俄羅斯行為者近年來針對烏克蘭目標部署的眾多擦拭器之一,尤其是在兩國之間當前戰爭爆發之後。儘管威脅行為者在 Viasat 攻擊中設法使數千個數據機離線,但該公司在刪除惡意軟體後仍能夠恢復並重新部署它們。
然而,在許多其他情況下,組織在擦除器攻擊後被迫丟棄系統。最值得注意的例子之一是 2012 年 Shamoon 對沙烏地阿美石油公司 (Saudi Aramco) 的擦除器攻擊導致該公司約 30,000 個系統癱瘓。
就像 Shamoon 和 AcidRain 的情況一樣,威脅行為者通常不需要讓雨刷變得複雜就能發揮作用。這是因為惡意軟體的唯一功能是覆蓋或刪除系統中的資料並使它們變得無用,所以 迴避策略 與資料竊取和網路間諜攻擊相關的混淆技術是不必要的。
針對擦除器的最佳防禦措施(或限制其造成的損害)是實施與勒索軟體相同的防禦措施。這意味著對關鍵資料進行備份並確保強大的事件回應計畫和能力。
網路分段也很關鍵,因為當擦拭器能夠傳播到其他系統時,它們會更加有效,因此這種類型的防禦態勢有助於阻止橫向移動。
