详细内容或原文请订阅后点击阅览
与俄罗斯的威胁参与者瞄准乌克兰的湿气雨刮器
与俄罗斯有联系的威胁行为者针对乌克兰的关键基础设施组织,其新的破坏性恶意软件被称为Pathiper。与俄罗斯有联系的威胁行为者针对乌克兰的关键基础设施,名为Pathiper。思科塔洛斯(Cisco Talos)研究人员报告说,攻击者使用了合法的端点管理工具,表明他们可以使用管理控制台,然后将其用于[…]
来源:Security Affairs _恶意软件与俄罗斯的威胁参与者瞄准乌克兰的湿气雨刮器
与俄罗斯有联系的威胁行为者针对乌克兰的关键基础设施组织,其新的破坏性恶意软件被称为Pathiper。
与俄罗斯有联系的威胁行为者针对乌克兰的关键基础设施,名为Pathiper。思科塔洛斯(Cisco Talos)研究人员报告说,攻击者利用合法的端点管理工具,表明他们可以使用管理控制台,然后将其用于部署冰川刮水器。塔洛斯(Talos)将攻击归因于俄罗斯链接的APT群体,基于对技术,战术和程序的相似性,对乌克兰实体的攻击具有很高的信心。
Pathwiper是一种破坏性的恶意软件,扫描和标识所有连接的存储,包括网络驱动器,然后衍生线程以覆盖键盘磁盘伪像和文件,并随机数据。恶意代码针对的是NTFS结构,例如MBR,$ MFT等,通常在擦拭之前卸下卷。与Hermeticwiper类似,与俄罗斯的沙虫集团有关,Pathwiper使用更精确的程序化方法来识别和损坏驱动器。
HermeticWiper 沙虫“在执行时,Path Weiper用即时生成的随机数据代替了与文件系统相关的文物的内容。”阅读Cisco Talos发布的报告。 “它首先收集了端点上连接的存储媒体列表,包括:
报告- 物理驱动器名称卷名称和路径网络共享和取消共享(已删除)驱动路径
尽管大多数存储设备和卷都是通过编程发现的(通过API),但刮水器还查询‘hkey_users \ network \ network \ |删除路径'以获取共享网络驱动器的路径以进行破坏。 收集了所有存储媒体信息后,Path Wiperer将为记录的每个路径创建每个驱动器的线程,并用随机生成的字节覆盖伪影。”