INDUSTROYER2 и CADDYWIPER Malware IOCs

security IOC
Опубликовано

CERT-UA зафиксировали целевую атаку на объект энергетики Украины.

INDUSTROYER2 и CADDYWIPER

Замысел злоумышленников предполагал выведение из строя нескольких инфраструктурных элементов объекта атаки, а именно:

  • высоковольтных электрических подстанций – с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022);
  • электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест АСУ ТП) – с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP;
  • серверного оборудования под управлением операционной систем Linux – с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED;
  • активного сетевого оборудования.

Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO). С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создание запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP. Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей. Для удаленного выполнения команд использован IMPACKET. Известно, что организация-жертва подверглась двум волнам атак. Первоначальная компрометация произошла позже февраля 2022 года. Отключение электрических подстанций и выведение из строя инфраструктуры предприятия было запланировано на вечер пятницы, 8 апреля 2022 года. Вместе с тем, реализации злонамеренного замысла на текущий момент удалось предотвратить.

Indicators of Compromise

IPv4

  • 91.245.255.243
  • 195.230.23.19

MD5

  • fbe32784c073e341fc57d175a913905c
  • 73561d9a331c1d8a334ec48dfd94db99
  • 97ad7f3ed815c0528b070941be903d07
  • 9ec8468dd4a81b0b35c499b31e67375e
  • 1938380a81a23b8b1100de8403b583a7
  • b63b9929b8f214c4e8dcff7956c87277
  • 3229e8c4150b5e43f836643ec9428865

SHA256

  • 43d07f28b7b699f43abd4f695596c15a90d772bfbd6029c8ee7bc5859c2b0861
  • bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99
  • 87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028
  • cda9310715b7a12f47b7c134260d5ff9200c147fc1d05f030e507e57e3582327
  • 1724a0a3c9c73f4d8891f988b5035effce8d897ed42336a92e2c9bc7d9ee7f5a
  • fc0e6f2effbfa287217b8930ab55b7a77bb86dbd923c0e8150551627138c9caa
  • 7062403bccacc7c0b84d27987b204777f6078319c3f4caa361581825c1a94e87
Похожие записи:
  1. CaddyWiper IOC
  2. Wipers Malware IOCs
  3. Sandworm APT IOCs
  4. Wipers IOCs - Part 3
  5. Fancy Bear (APT28) APT IOCs - Part 3
CaddyWiper CERT-UA Industroyer2 Wiper
Добавить комментарий