Эксперты Cisco Talos обнаружили новую кибератаку на объекты критической инфраструктуры Украины с использованием ранее неизвестного вредоносного ПО типа wiper, получившего название PathWiper. Атака была проведена через легитимную систему администрирования конечных точек, что свидетельствует о наличии у злоумышленников доступа к административной консоли. С высокой степенью уверенности специалисты связывают эту атаку с российской APT-группой, учитывая схожесть тактик, методов и инструментов с предыдущими атаками на украинские объекты.
Описание
PathWiper распространяется через командный файл (BAT), который запускает вредоносный VBScript uacinstall.vbs. Этот скрипт, в свою очередь, загружает и исполняет основной модуль wiper под именем sha256sum.exe. Злоумышленники маскировали свои действия под стандартные операции администрирования, что говорит о глубоком понимании инфраструктуры жертвы.
Основная функция PathWiper - уничтожение данных. Вирус собирает информацию о подключенных носителях, включая физические диски, тома и сетевые ресурсы, после чего создает отдельные потоки для каждого из них и перезаписывает содержимое случайными данными. Особое внимание уделяется критическим структурам файловой системы NTFS, таким как MBR, $MFT, $LogFile и другим. Перед уничтожением данных PathWiper пытается отмонтировать тома, чтобы избежать блокировки со стороны операционной системы.
PathWiper демонстрирует сходство с другим известным вирусом-уничтожителем - HermeticWiper, который использовался против Украины в 2022 году и связывается с группировкой Sandworm. Однако новый вирус отличается более изощренным механизмом поиска и уничтожения данных, что делает его еще более опасным.
Индикаторы компрометации
SHA256
- 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3
