PathWiper มัลแวร์ลบข้อมูลตัวใหม่ ถูกพบในการโจมตีโครงสร้างพื้นฐานสำคัญของยูเครน โดยมุ่งเป้าขัดขวางการทำงาน โดยอาศัยเครื่องมือจัดการระบบที่ถูกต้องในการแพร่กระจาย เหตุการณ์นี้แสดงให้เห็นว่าผู้โจมตีมีสิทธิ์เข้าถึงในฐานะผู้ดูแลระบบอยู่ก่อนแล้ว
นักวิจัยจาก Cisco Talos ระบุว่า การโจมตีครั้งนี้น่าจะมาจากกลุ่ม APT ที่เชื่อมโยงกับรัสเซีย โดยเปรียบเทียบมัลแวร์ PathWiper กับ HermeticWiper ซึ่งเคยถูกใช้โจมตียูเครนมาก่อนโดยกลุ่ม Sandworm เนื่องจากมีฟังก์ชันคล้ายกัน จึงเป็นไปได้ว่า PathWiper อาจเป็นเวอร์ชันพัฒนาต่อของ HermeticWiper ที่ถูกใช้โดยกลุ่มเดิม หรือกลุ่มที่เกี่ยวข้องกัน
กลไกการทำลายข้อมูลของ PathWiper
PathWiper เริ่มทำงานบนระบบเป้าหมายผ่านไฟล์ batch ของ Windows ที่เรียกใช้ VBScript อันตรายชื่อ uacinstall.vbs ซึ่งจะปล่อย และรันเพย์โหลดหลัก sha256sum.exe โดยกระบวนการทั้งหมดถูกออกแบบให้เลียนแบบพฤติกรรม และชื่อของเครื่องมือของผู้ดูแลระบบที่ถูกต้องตามปกติ เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย
PathWiper มีความสามารถที่เหนือกว่า HermeticWiper ตรงที่ไม่เพียงเจาะจง physical drives แต่ยังตรวจจับไดรฟ์ทุกประเภทที่เชื่อมต่อกับระบบได้อย่างละเอียด ไม่ว่าจะเป็น local ไดรฟ์, network ไดรฟ์ หรือแม้กระทั่ง dismounted ไดรฟ์ เมื่อตรวจพบแล้ว PathWiper จะใช้ API ของ Windows ในการ dismount volumes เหล่านี้ออก เพื่อเตรียมพร้อมสำหรับการทำลายข้อมูล จากนั้นจะสร้างเธรดแยกสำหรับแต่ละ volumes เพื่อเขียนทับ NTFS structures ที่สำคัญทั้งหมด
ในบรรดา system files ที่ถูกโจมตีใน root directory ของ NTFS มีดังนี้:
- MBR (Master Boot Record): เซกเตอร์แรกของ physical disk ที่เก็บข้อมูลบูตโหลดเดอร์ และ partition table
- $MFT (Master File Table): NTFS system file ที่ทำหน้าที่จัดเก็บข้อมูลรายการไฟล์ และโฟลเดอร์ทั้งหมด รวมถึงเมตาดาต้า และตำแหน่งบนดิสก์
- $LogFile: Journal ที่ใช้สำหรับ NTFS transaction logging, ติดตามการเปลี่ยนแปลงไฟล์ และช่วยตรวจสอบความถูกต้องรวมถึงการกู้คืนข้อมูล
- $Boot: ไฟล์ที่เก็บข้อมูลเซกเตอร์บูต และโครงสร้าง filesystem
PathWiper จะเขียนทับ NTFS files ที่สำคัญข้างต้น และไฟล์อื่น ๆ อีกห้าไฟล์ ส่งผลให้ระบบที่ถูกโจมตีไม่สามารถใช้งานได้เลย การโจมตีครั้งนี้ไม่มีการเรียกค่าไถ่ หรือเรียกร้องทางการเงิน เป้าหมายหลักคือการทำลาย และขัดขวางการทำงานเท่านั้น
Cisco Talos ได้เปิดเผยค่าแฮชไฟล์ และ Snort rules เพื่อช่วยในการตรวจจับ และหยุดยั้งภัยคุกคามก่อนที่มัลแวร์จะทำลายข้อมูลในไดรฟ์
มัลแวร์ลบข้อมูลกลายเป็นเครื่องมือสำคัญที่กลุ่มผู้โจมตีที่เกี่ยวข้องกับรัสเซียใช้โจมตียูเครน เพื่อขัดขวางการดำเนินงานที่สำคัญตั้งแต่ต้นสงคราม โดยมีมัลแวร์ที่รู้จักกันในชื่อ DoubleZero, CaddyWiper, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate และ AcidRain รวมอยู่ด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.