Вайпер Dustman использовался для атаки на нефтяную компанию Bapco

[Artifact]

Вредонос Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare.

Киберпреступники, предположительно спонсируемые иранским государством, применили новое вредоносное ПО Dustman в ходе атак на компьютерные сети бахрейнской национальной нефтяной компании Bapco.
Кибератака была осуществлена 29 декабря, однако злоумышленникам удалось повредить только часть компьютерной сети Bapco, https://www.scribd.com/document/4422...bia-CNA-reportНациональное управление по кибербезопасности Саудовской Аравии (National Cybersecurity Authority).
В ходе недавней атаки преступники использовали новое вредоносное ПО под названием Dustman, представляющее собой вайпер для удаления данных на зараженных компьютерах. По словам представителей CNA, Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare, обнаруженного осенью прошлого года. Напомним, ранее SecurityLab писал о некотором сходстве ZeroCleare с вредоносным ПО Shamoon, который использовался против организаций, работающих в критически важных и экономических секторах Саудовской Аравии.
Общим компонентом данных вредоносов является легитимный набор инструментов EldoS RawDisk для взаимодействия с файлами, дисками и разделами. Вредоносы используют различные эксплоиты и методы для повышения привилегий до уровня администратора, после чего они распаковывают и запускают утилиту EldoS RawDisk для очистки данных на зараженных хостах.
Однако у Dustman есть определенные отличия от других вайперов. Все необходимые драйверы и загрузчики поставляются в одном исполняемом файле, а не в двух файлах, как в случае с ZeroCleare. Также Dustman перезаписывает том, тогда как ZeroCleare стирает том, перезаписывая его мусорными данными (0x55).
Преступники эксплуатировали уязвимости удаленного выполнения кода в VPN-устройствах компании, что позволило им проникнуть в сеть Bapco. Согласно отчету CNA, злоумышленники, предположительно, инициировали процесс очистки данных в качестве последней попытки скрыть улики после того, как ряд совершенных ошибок выявил их присутствие во взломанной сети.
Специалисты пока не смогли определить, какая именно группировка причастна к кибератаке.