Een kritieke infrastructuurentiteit in Oekraïne werd het doelwit van een eerder ongeziene data wisser malware genaamd Pathwiper, volgens nieuwe bevindingen van Cisco Talos.
“De aanval werd geïnstrumenteerd via een legitiem eindpuntadministratiekader, dat aangeeft dat de aanvallers waarschijnlijk toegang hadden tot de administratieve console, dat vervolgens werd gebruikt om kwaadaardige opdrachten uit te geven en pathwiper te implementeren in verbonden eindpunten,” zei onderzoekers Jacob Finn, Dmytro Korzhevin en Asheer Malhotra in een analyse van donderdag.
De aanval wordt beoordeeld als het werk van een Rusland-Nexus Advanced Persistent Threat (APT) -acteur op basis van de waargenomen Tradecraft en de overlappende mogelijkheden met destructieve malware die worden gebruikt bij aanvallen tegen Oekraïne.
Talos zei dat de opdrachten uitgegeven door de console van de administratieve tool werden ontvangen door de klant die op de eindpunten van het slachtoffer draaide en vervolgens werd uitgevoerd als een batch (BAT) -bestand.
Het BAT -bestand bestond op zijn beurt uit een opdracht om een kwaadaardig Visual Basic Script (VBScript) -bestand uit te voeren in de Windows Temp -map met de naam “UACInstall.VBS”, dat ook naar de machines werd geduwd via de beheerdersconsole. Het VBScript liet van zijn kant de wisser binaire getrokken onder de naam “Sha256Sum.exe” in dezelfde map en voerde het uit.
“In de loop van de aanval waren de gebruikte bestandsnamen en acties bedoeld om degenen na te bootsen die werden ingezet door de console van het administratieve hulpprogramma, wat aangeeft dat de aanvallers voorkennis hadden van de console en mogelijk de functionaliteit ervan binnen de omgeving van de slachtoffer onderneming,” zei Talos.
Eenmaal gelanceerd, is Pathwiper ontworpen om een lijst met verbonden opslagmedia te verzamelen, waaronder fysieke schijfnamen, volumenamen en paden en netwerkaandrijving. De wisser gaat vervolgens over tot het maken van één thread per schijf en volume voor elk opgenomen pad en overschrijft de inhoud van de artefacten met willekeurig gegenereerde bytes.
In het bijzonder richt het zich op: Master Boot Record (MBR), $ MFT, $ MFTMIRR, $ LogFile, $ Boot, $ bitmap, $ txflog, $ tops en $ Attrdef. Bovendien vernietigt Pathwiper onherroepelijk bestanden op schijf door ze te overschrijven met gerandomiseerde bytes en pogingen om volumes af te monteren.
Pathwiper is gebleken om een zekere mate van gelijkenis te delen met Hermeticwiper (aka Foxblade, Killdisk of Nearmiss), die samenviel met de Russische militaire invasie van Oekraïne in februari 2024.
Hoewel beide ruitenwissers proberen de MBR- en NTFS-gerelateerde artefacten te corrumperen, merkt het op dat HermeticWiper en Pathwiper verschillen op de manier waarop het gegevenscorruptiemechanisme wordt gebruikt tegen geïdentificeerde schijven en volumes.
“De voortdurende evolutie van malware-varianten van ruitenwisser benadrukt de voortdurende bedreiging voor de Oekraïense kritische infrastructuur ondanks de levensduur van de oorlog in Rusland-Oekraïne,” zeiden de onderzoekers.
Stille weerwolf doelen Rusland en Moldavië
De ontdekking van een nieuw ruitenwissermalware tegen Oekraïne komt als de Russische cybersecuritybedrijf Bi.zone twee nieuwe campagnes ontdekte die in maart 2025 door Silent Werewolf werden ondernomen om Moldavische en Russische bedrijven met malware te infecteren.
“De aanvallers gebruikten twee afzonderlijke lader -instanties om de kwaadaardige lading van hun C2 -server op te halen,” zei het bedrijf. “Helaas was de payload zelf niet beschikbaar ten tijde van dit onderzoek. Een retrospectieve analyse van vergelijkbare stille weerwolfcampagnes suggereert echter dat de dreigingsacteur Xdigo Malware gebruikte.”
Sommige van de doelen van de aanvallen omvatten sectoren nucleaire, vliegtuigen, instrumentatie en werktuigbouwkunde in Rusland. Het startpunt is een phishing -e -mail met een ZIP -bestandsbijlage die op zijn beurt een LNK -bestand en een genest zip -archief bevat. Het tweede zip -bestand bestaat uit een legitiem binair, een kwaadwillende DLL en een Decoy PDF.
Het uitpakken en lanceren van het Windows -snelkoppelingsbestand activeert de extractie van het geneste archief en zorgt er uiteindelijk voor dat de schurkenlut wordt opzij gezet via het legitieme uitvoerbare bestand (“DeviceMetAdatawizard.exe”). De DLL is een C# loader (“d3d9.dll”) die is ontworpen om de payload van de volgende fase van een externe server op te halen en het kunstaasdocument weer te geven aan het slachtoffer.
“De tegenstanders lijken controles uit te voeren op doelsystemen,” zei Bi.zone. “Als een doelhost niet aan bepaalde criteria voldoet, wordt het LLAMA 2 Large Language Model (LLM) in GGUF-formaat gedownload van hxxps: // huggingface (.) Co/theBloKe/llama-2-70b-gguf/resolve/main/llama-2-70b.q5_m_m.guf.”
“Dit belemmert de uitgebreide analyse van de gehele aanval en stelt de dreigingsacteur in staat om verdedigingen zoals sandboxen te omzeilen.”
Het cybersecuritybedrijf zei dat het een tweede campagne waarnaar dezelfde maand gericht was op onbekende sectoren in Moldavië en, waarschijnlijk, Rusland die dezelfde C# loader gebruikte, maar via phishing -kunstaas met betrekking tot officiële vakantieschema’s en aanbevelingen voor het beschermen van bedrijfsinformatie -infrastructuur tegen ransomware -aanvallen.
De cyberspionagegroep, per bi.zone, wordt verondersteld ten minste sinds 2011 actief te zijn, gericht op een breed scala van bedrijven in Rusland, Wit -Rusland, Oekraïne, Moldavië en Servië. De aanvallen worden gekenmerkt door het gebruik van phishing -kunstaas om malware te leveren zoals XDSPy, Xdigo en DSDownloader.
Pro-Oekraïense hacktivistische groep Bo Team richt zich op Rusland
In de afgelopen maanden wordt ook gezegd dat de Russische staatsbedrijven en organisaties die technologie, telecommunicatie en productie-verticalen omvatten, onder cyberaanvallen zijn gekomen van een pro-Oukrainian Hacktivist Group Codenamed Bo Team (aka Black Owl, Hoody Hyena en het tillen van Zmiy).
“Bo Team is een serieuze bedreiging die zowel gericht is op het veroorzaken van maximale schade aan het slachtoffer als bij het extraheren van financiële voordelen,” zeiden Kaspersky -onderzoekers vorige week in een rapport, met details over het vermogen van de dreigingsacteur om de infrastructuur van het slachtoffer te saboteren en in sommige gevallen zelfs hun toevlucht te nemen tot gegevenscodering en expositie.
Sinds ten minste januari 2024 actief, is bekend dat aanvallen die door het Hacktivistische cluster zijn gemonteerd, het gebruik van de post-exploitatie-frameworks, waaronder mythische en kobaltstaking, evenals legitieme externe toegang en tunnelgereedschap. De groep heeft ook een geschiedenis van toegang tot vertrouwelijke gegevens en het publiceren van informatie over succesvolle aanvallen in haar Telegram -kanaal BO -team.
De eerste toegang tot doelnetwerken wordt bereikt door phishing-e-mails te verzenden met booby-ingepakte bijlagen die, wanneer geopend, een infectieketen activeren die is ontworpen om bekende grondstoffenmalwarefamilies zoals Darkgate, Brockendoor en Remcos Rat te implementeren. Ook worden gebruikt, zoals HandleKatz en Nanodump voor het dumpen van LSASS en het maken van respectievelijk LSASS -dumps.
Gewapend met het externe toegang, is Bo Team waargenomen het vernietigen van bestandsback -ups, het verwijderen van bestanden met behulp van het SDelete -hulpprogramma en het laten vallen van de Windows -versie van de Babuk -encryptor om een losgeld te eisen in ruil voor het terugwinnen van toegang.
Sommige van de andere activiteiten die door de dreigingsacteur worden uitgevoerd, worden hieronder vermeld –
- Persistentie instellen met behulp van geplande taken
- Het toewijzen van kwaadaardige componentennamen vergelijkbaar met systeem- of bekende uitvoerbare bestanden om detectie te ontwijken
- De Active Directory -database extraheren met behulp van NTDSutil
- Verschillende opdrachten uitvoeren om informatie te verzamelen over telegram, het uitvoeren van processen, huidige gebruikers, externe RDP -sessies en antivirussoftware geïnstalleerd op de eindpunten
- RDP- en SSH -protocollen gebruiken om laterale beweging uit te voeren binnen Windows en Linux -infrastructuren
- Legitieme externe toegangssoftware laten vallen zoals Anydesk voor command-and-control
“De BO -teamgroep vormt een belangrijke bedreiging voor Russische organisaties vanwege de onconventionele benadering van het uitvoeren van aanvallen,” zei Kaspersky. “In tegenstelling tot de meeste pro-Oekraïense hacktivistische groepen, gebruikt BO-team actief een breed arsenaal aan malware, waaronder backdoors zoals Brockledoor, Remcos en Darkgate.”
“Deze functies bevestigen het hoge niveau van autonomie van de groep en de afwezigheid van stabiele verbindingen met andere vertegenwoordigers van de Pro-Oekrainiaanse hacktivistische cluster. In de openbare activiteit van BO-team zijn er praktisch geen tekenen van interactie, coördinatie of uitwisseling van tools met andere groepen. Dit benadrukt opnieuw zijn unieke profiel in het huidige hacktivistische landschap.”
