CaddyWiper: มัลแวร์ไวเปอร์ทำลายล้างเพิ่มเติมโจมตียูเครน

  • Sep 04, 2023

ที่ปัดน้ำฝนจะหลีกเลี่ยงไม่ให้ตัวควบคุมโดเมนอยู่ใต้เรดาร์

นักวิจัยได้ค้นพบมัลแวร์ไวเปอร์รูปแบบใหม่ที่ใช้ในการโจมตีองค์กรของยูเครน

วิกฤตการณ์ยูเครน

  • การเข้ารหัสภายในเขตสงคราม
  • คุณสามารถช่วยเหลือได้อย่างไร: เว็บไซต์และแหล่งข้อมูลบริจาค
  • ตำรวจยูเครนรวบแก๊งฟิชชิ่งที่อยู่เบื้องหลังกลโกงการชำระเงิน
  • โครงการช่วยเหลือผู้ลี้ภัยระหว่างประเทศร่วมมือกับ Rosetta Stone เพื่อช่วยเหลือผู้ลี้ภัย

เมื่อวันที่ 14 มีนาคม ESET ได้เผยแพร่ไฟล์ กระทู้ทวิตเตอร์ บันทึกมัลแวร์ที่เรียกว่า CaddyWiper ซึ่งรวบรวมในวันเดียวกับที่นำไปใช้กับเครือข่ายเป้าหมาย

เครื่องปัดน้ำฝน ซึ่งเป็นเครื่องที่สามที่ค้นพบในรอบหลายสัปดาห์โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ ถูกตรวจพบ "ในระบบไม่กี่โหลในองค์กรจำนวนจำกัด" ตามข้อมูลของ ESET

CaddyWiper คือมัลแวร์ไวเปอร์ ซึ่งเป็นโค้ดที่เป็นอันตรายซึ่งออกแบบมาโดยเฉพาะเพื่อสร้างความเสียหายให้กับระบบเป้าหมายด้วยการลบข้อมูลผู้ใช้ โปรแกรม ฮาร์ดไดรฟ์ และในบางกรณี ข้อมูลพาร์ติชัน

แตกต่างจากแรนซัมแวร์ โทรจัน และมัลแวร์ทั่วไปอื่นๆ ไวเปอร์ไม่ได้มุ่งเน้นไปที่การโจรกรรมหรือผลประโยชน์ทางการเงิน แต่จะลบทุกอย่างที่ขวางทางเพื่อจุดประสงค์ในการทำลายล้างเท่านั้น

ที่ปัดน้ำฝนใหม่จะเป็นไปตามรูปแบบนี้โดยการล้างข้อมูลผู้ใช้และข้อมูลพาร์ติชัน อย่างไรก็ตาม ESET กล่าวว่า CaddyWiper หลีกเลี่ยงการลบข้อมูลในตัวควบคุมโดเมน

“นี่อาจเป็นวิธีสำหรับผู้โจมตีในการเข้าถึงภายในองค์กรในขณะที่ยังคงรบกวนการปฏิบัติงาน” ทีมงานกล่าว

ในกรณีที่ตรวจพบจนถึงตอนนี้ CaddyWiper ได้ถูกแพร่กระจายผ่าน Microsoft Group Policy Objects (GPO) และในตัวอย่างหนึ่ง GPO เริ่มต้นของเครือข่ายถูกใช้ในทางที่ผิด เพื่อแพร่กระจายมัลแวร์ -- และสิ่งนี้ชี้ให้เห็นว่าผู้โจมตีได้เข้าถึงบริการ Active Directory แล้วก่อนที่จะมีการใช้งาน แคดดี้ไวเปอร์.

ESET ตั้งข้อสังเกตว่า CaddyWiper ไม่ได้เปิดเผยความคล้ายคลึงของโค้ด "สำคัญ" ใด ๆ กับ HermeticWiper หรือ IsaacWiper อย่างไรก็ตาม มีอีกสองรายการ สายพันธุ์ที่ปัดน้ำฝน ซึ่งพบโดยบริษัทในช่วงไม่กี่สัปดาห์ที่ผ่านมา

HermeticWiper ได้ส่งผลกระทบต่อเครื่องหลายร้อยเครื่องขององค์กรยูเครนและใช้งานไดรเวอร์ในทางที่ผิดสำหรับกิจกรรมการทำลายข้อมูล ไอแซค ไวเปอร์ที่พบในเครือข่ายของรัฐบาลยูเครน ยังมีความสามารถคล้ายเวิร์มและฟีเจอร์แรนซัมแวร์อีกด้วย

ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์สำหรับยูเครน (CERT-UA) ได้ขอให้องค์กรในประเทศที่สงสัยว่าการแทรกซึมของ CaddyWiper รายงานเหตุการณ์ดังกล่าว

ไมโครซอฟต์ ครั้งแรกเตือน ของการใช้มัลแวร์ไวเปอร์ต่อยูเครนในเดือนมกราคม ก่อนการรุกรานของรัสเซีย ประเทศนี้ยังประสบกับการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายซึ่งเปิดตัวต่อรัฐบาล บริการและธนาคารนำไปสู่การเรียกร้องก อาสาสมัคร "กองทัพไอที" เพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญของยูเครน

ความคุ้มครองก่อนหน้าและที่เกี่ยวข้อง

  • นักวิจัยทำลายมัลแวร์ WhisperGate Wiper ที่ใช้ในการทำลายเว็บไซต์ในยูเครน
  • นักวิจัยด้านความปลอดภัยตรวจพบมัลแวร์ไวเปอร์อีกรูปแบบหนึ่งที่ถูกใช้กับเครือข่ายของยูเครน
  • เว็บไซต์รัฐบาลยูเครนถูกรบกวนโดย DDoS พบมัลแวร์ไวเปอร์

มีเคล็ดลับไหม? ติดต่ออย่างปลอดภัยผ่าน WhatsApp | สัญญาณที่ +447713 025 499 ขึ้นไปที่ Keybase: charlie0