Sandworm продолжает атаковать Украину

Эксперты по безопасности из ESET сообщили, что Sandworm продолжает проводить кибератаки против организаций в Украине.

Sandworm (она же — Telebots, Voodoo Bear, Iron Viking и BlackEnergy) - также известная как подразделение 74455, предположительно является российским кибервоенным подразделением ГРУ , организации, отвечающей за российскую военную разведку .

Считается, что группа стоит за кибератакой на энергосистему Украины в декабре 2015 года, кибератаками на Украину в 2017 году с использованием вредоносной программы NotPetya, различными попытками вмешательства в президентские выборы во Франции в 2017 году, и кибератаки на компьютерную сеть Зимних Олимпийских игр в Пхенчхане в 2018 году.

В апреле Sandworm атаковал энергетические объекты Украины с помощью нового штамма вредоносного ПО Industroyer ICS (INDUSTROYER2) и новой версии вайпера CaddyWiper .

По данным CERT-UA, субъекты национального государства нацелились на высоковольтные электрические подстанции с помощью INDUSTROYER2, вариант, проанализированный исследователями, был адаптирован для целевых подстанций.

Злоумышленники также использовали вайпер CADDYWIPER для атак на системы на базе Windows, а серверное оборудование, работающее под управлением операционных систем Linux, поражало деструктивными сценариями ORCSHRED, SOLOSHRED, AWFULSHRED.

«Централизованное распространение и запуск CADDYWIPER осуществляется через механизм групповой политики (GPO). Сценарий POWERGAP PowerShell использовался для добавления групповой политики, которая загружает компоненты деструктора файлов с контроллера домена и создает запланированную задачу на компьютере». говорится в бюллетене , опубликованном украинским CERT. «Возможность горизонтального перемещения между сегментами локальной сети обеспечивается за счет создания цепочек SSH-туннелей. IMPACKET используется для удаленного выполнения команд».

CERT-UA утверждает, что APT-группировки предприняли как минимум две волны атак на объекты энергетики. Первоначальный взлом произошел не позднее февраля 2022 года. Интересно, что отключение электрических подстанций и вывод из эксплуатации инфраструктуры компании было запланировано на вечер пятницы, 8 апреля 2022 года.

Однако атаки были обнаружены и нейтрализованы государственными экспертами с помощью компаний по кибербезопасности ESET и Microsoft.

CERT-UA собрал индикаторы компрометации для этих атак и поделился ими, наряду с правилами Yara, с ограниченным числом международных партнеров и украинских энергетических компаний.

ESET, которая помогала украинскому правительству, опубликовала подробный отчет о вайпере Industroyer2, который был использован для нападения на украинскую энергетическую компанию.

Теперь специалисты ESET объявили об обнаружении нового варианта вредоносного загрузчика, используемого злоумышленниками в рамках атак Industroyer2 , CERT-UA отследил вредоносный код как ArguePatch.

По словам исследователей, в атаках на Industroyer2 использовалась исправленная версия удаленного отладочного сервера HexRaysSA IDA Pro (win32_remote.exe), в которую был включен код для расшифровки и запуска CaddyWiper из внешнего файла.

Группа APT скрыла ArguePatch в исполняемом файле ESET (eset_ssl_filtered_cert_importer.exe), вредоносный код был перезаписан в функции, вызываемой во время инициализации среды выполнения MSVC.

Анализ внедренного кода показал, что он в определенное время действует как загрузчик вредоносного ПО следующей стадии.

«Такой подход заменяет необходимость настройки запланированной задачи Windows для будущего взлома. Возможно, это способ избежать обнаружения с помощью известных TTP». пояснил ESET в серии твитов.