Según la nueva investigación de Cisco Talos, las entidades de infraestructura crítica dentro de Ucrania están sujetas a malware de limpiaparabrisas previamente invisible llamado PathWiper.
«El ataque se calculó a través de un marco de gestión de punto final legítimo, lo que indica que es probable que un atacante acceda a la consola de administración, y luego se utilizó para emitir comandos maliciosos e implementar PathWiper en los puntos finales conectados».
El ataque se califica como el trabajo de los actores de amenaza persistente (APT) rusa y Nexus avanzada en función de sus marcas registradas y capacidades superpuestas con malware destructivo utilizado en ataques contra Ucrania.
Talos dijo que el comando emitido por la consola de la herramienta de administración fue recibido por un cliente que se ejecuta en el punto final de la víctima y ejecutado como un archivo por lotes (BAT).
El archivo BAT consiste en un comando que ejecuta un archivo de script de Visual Basic malicioso (VBScript) en una carpeta TEMP de Windows llamada «UaCinstall.vbs» y también fue empujado a la máquina a través de la consola de administración. VBScript eliminó el binario de limpiaparabrisas en la misma carpeta con el nombre «sha256sum.exe» y lo ejecutó.
«A lo largo del ataque, los nombres de archivo y las acciones utilizadas tenían la intención de imitar las desplegadas por la consola de servicios públicos de gestión, lo que indica que el atacante tenía conocimiento previo de la consola y su funcionalidad dentro del entorno de la compañía de víctimas», dijo Talos.
Una vez lanzado, PathWiper está diseñado para recopilar una lista de medios de almacenamiento conectados, incluidos nombres de la unidad física, nombres y rutas de volumen, y rutas de unidad de red. El limpiaparabrisas luego crea un hilo y volumen por unidad para cada ruta grabada, sobrescribiendo el contenido de artefactos con bytes generados aleatoriamente.
Específicamente, se dirige al registro de Boot Master (MBR), $ MFT, $ Mftmirr, $ logFile, $ Boot, $ Bitmap, $ TXFlog, $ tops, $ attrdef. Además, PathWiper destruye irreparablemente los archivos en el disco sobrescribiendo bytes y volúmenes aleatorios con intentos de eliminarlos.
Se ha encontrado que Pathwiper comparte cierta similitud con Hermeticwiper (también conocido como Foxblade, Killdisk o Nearmiss), que se detectó en febrero de 2024 en línea con una invasión militar a gran escala en Ucrania.
Ambos limpiaparabrisas intentan destruir artefactos relacionados con MBR y NTFS, pero notamos que Hermeticwiper y Pathwiper difieren en cómo se utilizan los mecanismos de corrupción de datos para unidades y volúmenes identificados.
«La evolución continua de las variaciones de malware de limpiaparabrisas subraya la amenaza continua para la infraestructura crítica de Ucrania a pesar de la longevidad de la guerra de Rusia-Ucrania», dijeron los investigadores.
Silent Uedov apunta a Rusia y Moldavia
El descubrimiento de un nuevo tipo de malware de limpiaparabrisas para Ucrania se produce cuando la compañía de ciberseguridad rusa Bi.zone descubrió dos nuevas campañas de Silent Uedaur en marzo de 2025 para infectar a las compañías moldavo y rusa con malware.
«El atacante adoptó dos instancias de cargador separadas para recuperar cargas útiles maliciosas del servidor C2», dijo la compañía. «Desafortunadamente, la carga útil en sí no estaba disponible en el momento de este estudio. Sin embargo, un análisis retrospectivo de una campaña de hombres lobo silencioso similar sugiere que los actores de amenaza usaron malware XDIGO».
Los objetivos del ataque incluyen los departamentos nucleares, de aviones, instrumentación e ingeniería mecánica de Rusia. El punto de partida es un correo electrónico de phishing con archivos adjuntos de un archivo zip que contiene archivos LNK y archivos zip anidados. El segundo archivo zip consiste en binarios legítimos, DLL maliciosos y PDF de señuelo.
Desempacar y iniciar un archivo de acceso directo de Windows activará la extracción de archivos anidados y, en última instancia, resbaló la DLL malformada a través de un ejecutable legítimo («DeviCemetAdatawizard.exe»). El DLL es un cargador C# («d3d9.dll») diseñado para recuperar la siguiente carga útil de una etapa de un servidor remoto y mostrar el documento de señoría a la víctima.
«Parece que el enemigo está haciendo un control sobre el sistema objetivo», dice Bi.Zone. «Si el anfitrión de Target no cumple con ciertos criterios, el Gguf Format Llama Dos modelos de idiomas principales (LLM) se descargará de hxxps: // huggingface (.) Co/thebloke/llama-2-70b-gguf/resolve/main/llama-2-70b.q5_k_m.gguf.
«Esto obstaculizará un análisis exhaustivo de todo el ataque y permitirá a los actores de amenaza evitar defensas como las cajas de arena».
La compañía de ciberseguridad dijo que se dirige a sectores desconocidos en Moldavia y tal vez usa el mismo cargador de C# para Rusia, pero ha observado una segunda campaña en el mismo mes a través de mujeres pesqueras relacionadas con los horarios de vacaciones oficiales y recomendaciones para proteger la infraestructura de información de la compañía contra los ataques de ransomware.
Se cree que los grupos cibernéticos por bi. Zona se dirigieron a una amplia gama de empresas en Rusia, Bielorrusia, Ucrania, Moldavia y Serbia desde al menos 2011. Los ataques se caracterizan por el uso de autores de phishing para entregar malware como XDSPY, XDIGO y DSDOWNLOWNER.
Equipo de Bo del Grupo Hacktivista Pro-Ukriniano dirigido a Rusia
En los últimos meses, las empresas y organizaciones estatales rusas que abarcan tecnología, telecomunicaciones y industrias de producción supuestamente han sido atacadas por el equipo de nombre en codeName Bo (también conocido como Black Owl, Hoody Hiena, Levanting Zmiya).
«El equipo de BO es una amenaza seria destinada a causar el mayor daño a las víctimas y derivar beneficios financieros», en un informe de Kaspersky en un informe la semana pasada detalla la capacidad de los actores de amenazas para interferir con la infraestructura de las víctimas, y en algunos casos incluso recurrió al cifrado de datos y el miedo Tor.
A partir de enero de 2024, se sabe que los ataques montados por clústeres hacktivistas utilizan marcos posteriores a la explosión que incluyen mitos y ataques de cobalto, así como herramientas legítimas de acceso y túnel de acceso remoto. El grupo también tiene acceso a información e información pública sobre el éxito del ataque de Attack on the Telegram Channel Bo.
El acceso inicial a la red de destino se logra enviando un correo electrónico de phishing que contiene archivos adjuntos atrapados en Booby cuando abre una cadena de infecciones diseñada para desplegar familias de malware de productos básicos como ratas Darkate, Brockendoor y RemCos. Herramientas como HandleKatz y Nanodump también se utilizan para descargar LSASS y crear volcados LSASS.
Se ha observado que los equipos BO armados con el acceso remoto destruyen las copias de seguridad de archivos, usan la utilidad SDELETE para eliminar archivos e incluso eliminan la versión de Windows de Babuk EncreePter para solicitar un rescate a cambio de restaurar el acceso.
Algunas de las otras actividades realizadas por los actores de amenaza se enumeran a continuación –
Using scheduled tasks to assign persistence configuration system or malicious component names similar to famous executables, to extract Active Directory databases using NTDSUTIL to run various commands, and to run and extract various commands to collect information about telegrams, running users, remote RDP sessions, and Antivirus software installed on endpoints installed in Endpots using Doptocolrasp for RDP and SSH Protocols in Linprasp legitimate Software de acceso remoto como Anydesk para el comando y el control
«El grupo del equipo BO plantea una gran amenaza para las organizaciones rusas con su enfoque no convencional para realizar ataques», dijo Kaspersky. «A diferencia de la mayoría de los grupos hacktivistas pro-ucranianos, el equipo de BO utiliza activamente una amplia gama de malware, incluidas las puertas traseras como Block Endor, Lenkos y Dark Gate».
“Estas características respaldan el alto nivel de autonomía en el grupo y la falta de relaciones estables con otros representantes del clúster pro-ukleinhaktivist. Prácticamente no hay indicios de interacción, coordinación o intercambio con otros grupos en la actividad pública del equipo BO.
Source link
