Критическую инфраструктуру Украины атаковал PathWiper

[Artifact]

Аналитики Cisco Talos сообщили, что объекты критической инфраструктуры Украины атакует новый вредонос для уничтожения данных под названием PathWiper.



Исследователи пишут, что полезная нагрузка была развернута через легитимный инструмент администрирования эндпоинтов, то есть злоумышленники заранее получили административный доступ к целевой системе.



Эксперты сравнивают PathWiper с другой деструктивной малварью — HermeticWiper (она же FoxBlade, KillDisk и NEARMISS), ранее развернутой в Украине группировкой Sandworm. Из-за сходства этих угроз предполагается, что PathWiper может быть продолжением HermeticWiper, и вредоносы используются в атаках одних и тех же или пересекающихся кластеров угроз.



PathWiper развертывается в целевых системах через batch-файл Windows, который запускает вредоносный VBScript (uacinstall.vbs), а тот, в свою очередь, загружает и выполняет основную полезную нагрузку (sha256sum.exe).



Отмечается, что для уклонения от обнаружения при выполнении малварь имитируется поведение и использует имена, ассоциирующиеся с легитимным инструментом администратора.



Вместо того чтобы просто перечислить физические диски, как это делает HermeticWiper, PathWiper программно определяет все подключенные диски (локальные, сетевые, демонтированные). Затем малварь злоупотребляет возможностями Windows API для демонтажа томов, чтобы подготовить их к уничтожению и создает отдельный поток для каждого тома, чтобы перезаписать критические структуры NTFS, включая:

• MBR (Master Boot Record) — первый сектор физического диска, содержащий загрузчик и таблицу разделов;

• $MFT (Master File Table) — основной системный файл NTFS, содержащий каталог всех файлов и папок, включая их расположение на диске и метаданые;

• $LogFile — журнал, который используется для регистрации операций NTFS, отслеживания изменений файлов, а также для проверки целостности и восстановления данных;

• $Boot — файл, содержащий информацию о загрузочном секторе и разметке файловой системы.

PathWiper перезаписывает все критически важные файлы NTFS случайными байтами, в итоге полностью выводя целевые системы из строя. Так как изученные атаки не сопровождались вымогательством или какими-либо финансовыми требованиями, эксперты делают вывод, что их единственной целью было уничтожение данных и нарушение работы систем.



Эксперты резюмируют, что PathWiper стал еще одним дополнением к списку вайперов, которые в последние годы были нацелены на Украину. Среди них: WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper и AcidRain.



@ xakep.ru