研究人员发现,俄罗斯军事情报部门在 2022 年 2 月入侵乌克兰之前,曾使用该恶意软件破坏乌克兰的卫星宽带服务,该恶意软件更为危险且多产。
新的变体“ AcidPour ”与它的前身有很多相似之处,但它是针对 X86 架构编译的,这与 AcidRain 不同,AcidRain 的目标是基于 MIPS 的系统。据发现该威胁的 SentinelOne 研究人员称,新型雨刮器还具有比 AcidRain 更广泛的功能,可用于对抗更广泛的目标。
更广泛的破坏能力
SentinelOne 高级威胁研究员 Tom Hegel 表示:“AcidPour 扩展的破坏性功能包括 Linux 未排序块映像 (UBI) 和设备映射器 (DM) 逻辑,这些逻辑会影响手持设备、物联网、网络,或者在某些情况下影响 ICS 设备。” “存储区域网络 (SAN)、网络附加存储 (NAS) 和专用 RAID 阵列等设备现在也受到 AcidPour 的影响。”
Hegel 说,AcidPour 的另一个新功能是自删除功能,可以从其感染的系统中删除恶意软件的所有痕迹。他说,总体而言,AcidPour 是一个比 AcidRain 更复杂的擦拭器,并指出后者过度使用进程分叉和无端重复某些操作,作为其整体草率的例子。
SentinelOne 于 2022 年 2 月发现 AcidRain,此前一次网络攻击导致与通信提供商 Viasat 的 KA-SAT 网络相关的约 10,000 个卫星调制解调器离线。这次攻击中断了乌克兰数千名客户和欧洲数万人的消费者宽带服务。 SentinelOne 得出的结论是,该恶意软件很可能是与 Sandworm(又名 APT 28、Fancy Bear 和 Sofacy)相关的组织所为,Sandworm 是俄罗斯的一个组织,对乌克兰发生的多起破坏性网络攻击负有责任。
SentinelOne 研究人员于 3 月 16 日首次发现新变种 AcidPour,但尚未观察到有人在实际攻击中使用它。
沙虫领带
他们对雨刮器的初步分析揭示了与 AcidRain 的多种相似之处,随后的深入研究证实了这一点。 SentinelOne 发现的显着重叠包括 AcidPour 使用与 AcidRain 相同的重启机制,以及相同的递归目录擦除逻辑。
SentinelOne 还发现 AcidPour 基于 IOCTL 的擦除机制与 AcidRain 和 VPNFilter 中的擦除机制相同,VPNFilter 是美国司法部与 Sandworm 关联的模块化攻击平台。 IOCTL 是一种通过向设备发送特定命令来安全地擦除或擦除存储设备中的数据的机制。
SentinelOne 表示:“AcidPour 最有趣的方面之一是它的编码风格,让人想起广泛用于针对乌克兰目标的实用CaddyWiper以及Industroyer 2等著名恶意软件。” CaddyWiper 和 Industroyer 2 都是俄罗斯支持的国家组织在俄罗斯 2022 年 2 月入侵乌克兰之前就使用的恶意软件,对乌克兰的组织进行破坏性攻击。
SentinelOne 表示,乌克兰 CERT 分析了 AcidPour,并将其归因于 UAC-0165,UAC-0165 是 Sandworm 组织的一部分。
AcidPour 和 AcidRain 是俄罗斯行为者近年来针对乌克兰目标部署的众多擦拭器之一,尤其是在两国之间当前战争爆发之后。尽管威胁行为者在 Viasat 攻击中设法使数千个调制解调器离线,但该公司在删除恶意软件后仍能够恢复并重新部署它们。
然而,在许多其他情况下,组织在擦除器攻击后被迫丢弃系统。最引人注目的例子之一是 2012 年针对沙特阿美公司的Shamoon擦除器攻击,导致该公司约 30,000 个系统瘫痪。
与 Shamoon 和 AcidRain 的情况一样,威胁行为者通常不需要使雨刮器变得复杂就能发挥作用。这是因为恶意软件的唯一功能是覆盖或删除系统中的数据并使它们变得无用,因此不需要与数据盗窃和网络间谍攻击相关的规避策略和混淆技术。
针对擦除器的最佳防御措施(或限制其造成的损害)是实施与勒索软件相同的防御措施。这意味着对关键数据进行备份并确保强大的事件响应计划和能力。
网络分段也很关键,因为当擦拭器能够传播到其他系统时,它们会更加有效,因此这种类型的防御态势有助于阻止横向移动。
发表评论
您还未登录,请先登录。
登录