IsaacWiper و HermeticWizard جدیدترین بدافزارهایی که اوکراین را هدف قرار می‌دهد

IsaacWiper و HermeticWizard جدیدترین بدافزارهایی که اوکراین را هدف قرار می‌دهد

با شروع خصومت‌های اخیر بین روسیه و اوکراین، محققان ESET چندین خانواده بدافزار را کشف کردند که سازمان‌های اوکراینی را هدف قرار می‌دادند. اولین آن یک Wiper جدید را است که به سازمان‌های اوکراینی حمله می‌کند و دیگری Worm که HermeticWiper را در شبکه‌های محلی پخش می‌کند.

  • در 23 فوریه 2022، یک حمله مخرب با استفاده از HermeticWiper چندین سازمان اوکراینی را هدف قرار داد.
  • این حمله سایبری چند ساعت قبل از شروع تهاجم نیروهای فدراسیون روسیه به اوکراین انجام شد.
  • بردارهای دسترسی اولیه از سازمانی به سازمان دیگر متفاوت بود. ما یک مورد از افتادن برف پاک کن توسط GPO را تأیید کردیم و Worm را کشف کردیم که برای پخش در شبکه آسیب‌دیده دیگری استفاده می‌شود.
  • مصنوعات بدافزار نشان می دهد که این حملات برای چندین ماه برنامه ریزی شده بود.
  • در 24 فوریه 2022، دومین حمله مخرب علیه یک شبکه دولتی اوکراین با استفاده از HermeticWiper که IsaacWiper نامیده‌ایم آغاز شد.
  • ESET Research هنوز نتوانسته است این حملات را به یک عامل تهدید شناخته شده نسبت دهد.

 

حملات مخرب در اوکراین

همانطور که در این توییت ESETRsearch و پست وبلاگ WLS بیان شد، ما یک حمله مخرب علیه رایانه‌ها در اوکراین را کشف کردیم که حدود ساعت 14:52 در 23 فوریه 2022 UTC آغاز شد. این به دنبال حملات انکار سرویس (DDoS) توزیع شده علیه وب‌سایت‌های اصلی اوکراین و چند ساعت قبل از تهاجم نظامی روسیه بود.

این حملات مخرب حداقل از سه جزء بهره می برد:

  • HermeticWiper: یک سیستم را با خراب کردن داده های آن غیر قابل اجرا می کند.
  • HermeticWizard: HermeticWiper را در یک شبکه محلی از طریق WMI و SMB پخش می کند.
  • HermeticRansom: باج افزار نوشته شده در G

HermeticWiper بر روی صدها سیستم در حداقل پنج سازمان اوکراینی مشاهده شد.

در 24 فوریه 2022، ما یک برف پاک کن جدید دیگر را در یک شبکه دولتی اوکراین شناسایی کردیم. ما آن را IsaacWiper نامیدیم و در حال حاضر در حال ارزیابی پیوندهای آن، در صورت وجود، با HermeticWiper هستیم. توجه به این نکته مهم است که در سازمانی دیده شد که تحت تأثیر HermeticWiper قرار نگرفت.

 

تخصیص دادن

در این مرحله، ما هیچ ارتباط ملموسی با یک عامل تهدید شناخته شده پیدا نکرده ایم. HermeticWiper، HermeticWizard و HermeticRansom هیچ شباهت کد قابل توجهی با سایر نمونه های مجموعه بدافزار ESET ندارند. IsaacWiper نیز هنوز نسبت داده نشده

است.

 

جدول زمانی

HermeticWiper و HermeticWizard توسط یک گواهی امضای کد (نشان داده شده در شکل 1) که به Hermetica Digital Ltd در 13 آوریل 2021 صادر شده است، امضا می شوند. ما از CA صادر کننده (DigiCert) درخواست کردیم که گواهی را باطل کند، که در 24 فوریه 2022 انجام شد. .

 

بر اساس گزارش رویترز، به نظر می رسد این گواهی از هرمتیک دیجیتال دزدیده نشده است. این احتمال وجود دارد که در عوض مهاجمان برای دریافت این گواهی از DigiCert جعل شرکت قبرسی باشند.

محققان ESET با اطمینان بالا ارزیابی می‌کنند که سازمان‌های آسیب‌دیده خیلی قبل از استقرار برف پاک کن در معرض خطر قرار گرفته‌اند. این بر چندین واقعیت استوار است:

  • مهرهای زمان گردآوری HermeticWiper PE، قدیمی‌ترین آنها 28 دسامبر 2021 است.
  • تاریخ صدور گواهی امضای کد 13 آوریل 2021
  • استقرار HermeticWiper از طریق GPO حداقل در یک مورد نشان می دهد که مهاجمان قبلاً به یکی از سرورهای Active Directory آن قربانی دسترسی داشته اند.

 

دسترسی اولیه HermeticWiper

بردار دسترسی اولیه در حال حاضر ناشناخته است، اما ما آثاری از حرکت جانبی در داخل سازمان‌های هدف مشاهده کرده‌ایم. در یک موجودیت، پاک‌کن از طریق خط‌مشی دامنه پیش‌فرض (GPO) مستقر شد، همانطور که در مسیر آن در سیستم نشان داده شده است:

C:\Windows\system32\GroupPolicy\DataStore\0\sysvol\<redacted>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\cc.exe

او نشان می دهد که مهاجمان احتمالاً کنترل سرور Active Directory را در دست گرفته اند.

در موارد دیگر، ممکن است از Impacket برای استقرار HermeticWiper استفاده شده باشد. یک وبلاگ Symantec بیان می کند که پاک کن با استفاده از خط فرمان زیر مستقر شده است:

cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1 CSIDL_WINDOWS\policydefinitions\postgresql.exe 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1

قسمت آخر همان رفتار پیش‌فرض در Impacket’s wmiexec.py است که در GitHub یافت می‌شود.

در نهایت، یک کرم سفارشی که ما HermeticWizard نام گذاری کرده ایم، برای گسترش HermeticWiper در سراسر شبکه های در معرض خطر از طریق SMB و WMI استفاده شد.

 

IsaacWiper

بردار دسترسی اولیه نیز در حال حاضر ناشناخته است. این احتمال وجود دارد که مهاجمان از ابزارهایی مانند Impacket برای حرکت جانبی استفاده کنند. در چند ماشین، RemCom، یک ابزار دسترسی از راه دور را نیز مشاهده کرده‌ایم که همزمان با IsaacWiper مستقر می‌شود.

 

تحلیل فنی هرمتیک وایپر

HermeticWiper یک ویندوز قابل اجرا با چهار درایور است که در منابع آن تعبیه شده است. آنها درایورهای قانونی نرم افزار EaseUS Partition Master هستند که توسط شرکت توسعه فناوری CHENGDU YIWO امضا شده است و عملیات سطح پایین دیسک را اجرا می کنند. فایل های زیر مشاهده شد:

  • 0E84AFF18D42FC691CB1104018F44403C325AD21: x64 driver
  • 379FF9236F0F72963920232F4A0782911A6BD7F7: x86 driver
  • 87BD9404A68035F8D70804A5159A37D1EB0A3568: x64 XP driver
  • B33DD3EE12F9E6C150C964EA21147BF6B7F7AFA9: x86 XP driver

بسته به نسخه سیستم عامل، یکی از آن چهار درایور انتخاب شده و در C:\Windows\System32\drivers\<4 حرف تصادفی>.sys حذف می شود. سپس با ایجاد یک سرویس بارگذاری می شود.

 

سپس HermeticWiper با غیرفعال کردن Volume Shadow Copy Service (VSS) ادامه می‌دهد و با بازنویسی فایل خود با بایت‌های تصادفی، خود را از دیسک پاک می‌کند. این اقدام ضد پزشکی قانونی احتمالاً برای جلوگیری از تجزیه و تحلیل برف پاک کن در تجزیه و تحلیل پس از حادثه در نظر گرفته شده است.

جالب است بدانید که اکثر عملیات فایل در سطح پایین با استفاده از فراخوانی DeviceIoControl انجام می شود.

مکان‌های زیر با بایت‌های تصادفی تولید شده توسط عملکرد Windows API CryptGenRandom بازنویسی می‌شوند:

  • The master boot record (MBR)
  • The master file table (MFT)
  • $Bitmap and $LogFile on all drives
  • The files containing the registry keys (NTUSER*)
  • C:\Windows\System32\winevt\Logs

 

علاوه بر این، با استفاده از یک عملیات FSCTL_MOVE_FILE، پوشه‌ها و فایل‌های موجود در ویندوز، فایل‌های برنامه، فایل‌های برنامه (x86)، PerfLogs، بوت، اطلاعات حجم سیستم و پوشه‌های AppData را نیز به صورت بازگشتی پاک می‌کند. به نظر می رسد این تکنیک کاملاً غیرعادی است و بسیار شبیه به آنچه در پروژه Windows Wipe در GitHub پیاده سازی شده است (به تابع wipe_extent_by_defrag مراجعه کنید). همچنین پیوندهای نمادین و فایل‌های بزرگ را در پوشه‌های My Documents و Desktop با بازنویسی آنها با بایت‌های تصادفی پاک می‌کند.

 

در نهایت دستگاه دوباره راه اندازی می شود. با این حال، بوت نمی شود، زیرا MBR، MFT و اکثر فایل ها پاک شدند. ما معتقدیم که امکان بازیابی ماشین های آسیب دیده وجود ندارد.

 

Hermetic Wizard

در جستجوی نمونه‌های دیگری که با همان گواهی امضای کد (Hermetica Digital Ltd) امضا شده بودند، خانواده بدافزار جدیدی پیدا کردیم که نام آن را HermeticWizard گذاشتیم.

این یک Worm است که در ساعت 14:52:49 در 23 فوریه 2022 UTC بر روی سیستمی در اوکراین مستقر شد. این یک فایل DLL است که در C++ توسعه یافته است که توابع DllInstall، DllRegisterServer و DllUnregisterServer را صادر می کند. نام DLL صادراتی آن Wizard.dll است. این شامل سه منبع است که فایل های PE رمزگذاری شده هستند:

  • نمونه ای از HermeticWiper (912342F1C840A42F6B74132F8A7C4FFE7D40FB77)
  • exec_32.dll، مسئول انتشار به سایر رایانه های محلی از طریق WMI (6B5958BFABFE7C731193ADB96880B225C8505B73)
  • romance.dll، مسئول انتشار به سایر رایانه های محلی از طریق SMB (AC5B6F16FC5115F0E2327A589246BA00B41439C2)

 

منابع با یک حلقه XOR معکوس رمزگذاری می شوند. هر بلوک چهار بایتی با بلوک قبلی XOR شده است. در نهایت، اولین بلوک با یک مقدار کد سخت، 0x4A29B1A3، XOR شده است.

HermeticWizard با استفاده از خط فرمان regsvr32.exe /s /i <path> شروع می شود.

ابتدا، HermeticWizard سعی می کند ماشین های دیگری را در شبکه محلی پیدا کند. آدرس های IP محلی شناخته شده را با استفاده از توابع زیر ویندوز جمع آوری می کند:

  • DNSGetCacheDataTable
  • GetIpNetTable
  • WNetOpenEnumW(RESOURCE_GLOBALNET, RESOURCETYPE_ANY)
  • NetServerEnum
  • GetTcpTable
  • GetAdaptersAddresses

 

سپس سعی می‌کند به آن آدرس‌های IP (و فقط در صورتی که آدرس‌های IP محلی باشند) متصل شود تا ببیند آیا هنوز قابل دسترسی هستند یا خیر. در صورتی که آرگومان -s هنگام راه اندازی HermeticWizard ارائه شده باشد (regsvr32.exe /s /i:-s <path>)، محدوده کامل /24 را نیز اسکن می کند. بنابراین، اگر برای مثال، 192.168.1.5 در حافظه نهان DNS یافت شود، به صورت تدریجی از 192.168.1.1 به 192.168.1.254 اسکن می کند. برای هر آدرس IP، سعی می کند یک اتصال TCP در پورت های زیر باز کند:

  • 20: ftp
  • 21: ftp
  • 22: ssh
  • 80: http
  • 135: rpc
  • 137: netbios
  • 139: smb
  • 443: https
  • 445: smb

 

پورت ها به صورت تصادفی اسکن می شوند، بنابراین نمی‌توان از ترافیک HermeticWizard انگشت نگاری کرد.

هنگامی که یک ماشین قابل دسترسی پیدا کرد، WMI Spreader (به تفصیل در زیر) روی دیسک می‌افتد و یک فرآیند جدید با خط فرمان rundll32 <پوشه فعلی>\<6 حرف تصادفی>.ocx #1 -s <مسیر به HermeticWizard> ایجاد می‌کند. – i <target IP>.

این کار را با پخش کننده SMB (به تفصیل در زیر) انجام می دهد که در <current folder>\<6 random letters>.ocx نیز حذف شده است، اما با حروف تصادفی متفاوت.

در نهایت، HermeticWiper را در <current folder>\<6 random letter>.ocx انداخته و اجرا می کند.

 

WMI Spreader

WMI Spreader که توسط توسعه دهندگان آن exec_32.dll نامگذاری شده است، دو آرگومان می گیرد:

  • -i: The target IP address
  • -s: The file to copy and execute on the target machine

ابتدا، با استفاده از WNetAddConnection2W به سهم ADMIN$ از راه دور هدف ارتباط برقرار می کند. سپس فایل ارائه شده در آرگومان -s با استفاده از CopyFileW کپی می شود. فایل راه دور دارای یک نام تصادفی است که با CoCreateGUID (به عنوان مثال، cB9F06408D8D2.dll) و فرمت رشته ای c%02X%02X%02X%02X%02X%02X ایجاد شده است.

دوم، سعی می کند فایل کپی شده، HermeticWizard را با استفاده از DCOM روی دستگاه راه دور اجرا کند. CoCreateInstance را با CLSID_WbemLocator به عنوان آرگومان فراخوانی می کند. سپس از WMI Win32_Process برای ایجاد یک فرآیند جدید در دستگاه راه دور، با خط فرمان C:\windows\system32\cmd.exe /c start C:\windows\system32\\regsvr32.exe /s /i C:\ استفاده می کند. windows\<filename>.dll.

توجه داشته باشید که آرگومان -s به HermeticWizard منتقل نمی‌شود، به این معنی که شبکه محلی را دوباره از این دستگاه به خطر افتاده اسکن نمی‌کند.

اگر تکنیک WMI با شکست مواجه شد، سعی می کند با استفاده از OpenRemoteServiceManager با همان دستور بالا یک سرویس ایجاد کند.

اگر به هر طریقی موفق به اجرای DLL راه دور شود، تا زمانی که بتواند فایل راه دور را حذف کند، می خوابد.

 

SMB Spreader

SMB Spreader، که توسط توسعه دهندگان آن romance.dll نامگذاری شده است، همان دو آرگومان را به عنوان WMI Spreader دریافت می کند. نام داخلی آن احتمالاً اشاره ای به اکسپلویت EternalRomance است، حتی اگر از هیچ اکسپلویتی استفاده نکند.

ابتدا سعی می کند به لوله های زیر در اشتراک SMB راه دور (در پورت 445) متصل شود:

  • samr
  • browser
  • netlogon
  • lsarpc
  • ntsvcs
  • svcctl

اینها لوله هایی هستند که در حرکت جانبی استفاده می شوند. پخش کننده فهرستی از اعتبارنامه هاردکد شده دارد که در تلاش برای احراز هویت از طریق NTLMSSP به سهام SMB استفاده می شود:

— usernames —
guest
test
admin
user
root
administrator
manager
operator

— passwords —
123
Qaz123
Qwerty123

 

این لیست از اعتبارنامه ها به طور شگفت انگیزی کوتاه است و بعید به نظر می رسد که حتی در ضعیف ترین شبکه های محافظت شده کار کند.

اگر اتصال موفقیت آمیز باشد، سعی می کند فایلی که با آرگومان -s ارجاع داده شده است را به اشتراک ADMIN$ هدف رها کند. در مورد پخش کننده WMI، نام فایل راه دور با تماس با CoCreateInstance ایجاد می شود.

سپس از طریق SMB خط فرمان cmd /c start regsvr32 /s /i ..\\<filename> & start cmd /c \”ping localhost -n 7 & wevtutil cl System\” را اجرا می کند.

 

HermeticRansom

محققان ESET همچنین مشاهده کردند که HermeticRansom – باج افزار نوشته شده در Go – در اوکراین همزمان با کمپین HermeticWiper استفاده می شود. HermeticRansom اولین بار در ساعات اولیه 24 فوریه 2022 UTC در توییتی از AVAST گزارش شد. تله متری ما در مقایسه با HermeticWiper استقرار بسیار کمتری را نشان می دهد. این باج‌افزار همزمان با HermeticWiper، به‌طور بالقوه به منظور پنهان کردن اعمال پاک‌کن مستقر شد. در یک دستگاه، جدول زمانی زیر مشاهده شد:

  • 2022-02-23 17:49:55 UTC: HermeticWiper in C:\Windows\Temp\cc.exe deployed
  • 2022-02-23 18:06:57 UTC: HermeticRansom in C:\Windows\Temp\cc2.exe deployed by the netsvcs service
  • 2022-02-23 18:26:07 UTC: Second HermeticWiper in C:\Users\com.exe deployed

در یک مورد، مشاهده کردیم که HermeticRansom از طریق GPO مستقر شده است، درست مانند HermeticWiper:

C:\WINDOWS\system32\GroupPolicy\DataStore\0\sysvol\<redacted>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\cpin.exe

چند رشته در باینری توسط مهاجمان باقی مانده است. آنها به رئیس جمهور آمریکا بایدن و کاخ سفید اشاره می کنند:

  • _/C_/projects/403forBiden/wHiteHousE.baggageGatherings
  • _/C_/projects/403forBiden/wHiteHousE.lookUp
  • _/C_/projects/403forBiden/wHiteHousE.primaryElectionProcess
  • _/C_/projects/403forBiden/wHiteHousE.GoodOffice1

هنگامی که فایل ها رمزگذاری شدند، پیام شکل 3 برای قربانی نمایش داده می شود.

 

IsaacWiper

IsaacWiper در DLL یا EXE ویندوز بدون امضای Authenticode یافت می شود. در 24 فوریه 2022 در تله متری ما ظاهر شد. همانطور که قبلاً ذکر شد، قدیمی ترین مهر زمانی گردآوری PE که پیدا کرده ایم 19 اکتبر 2021 است، به این معنی که اگر مهر زمانی تدوین PE آن دستکاری نشده باشد، ممکن است IsaacWiper در ماه های عملیات قبلی استفاده شده باشد. زودتر

برای نمونه های DLL، نام در فهرست صادرات PE Cleaner.dll است و دارای یک صادرات _Start@4 است.

ما IsaacWiper را در %programdata% و C:\Windows\System32 تحت نام فایل زیر مشاهده کرده‌ایم:

  • clean.exe
  • cl.exe
  • cl64.dll
  • cld.dll
  • cll.dll

هیچ شباهتی کد با HermeticWiper ندارد و بسیار پیچیده تر است. با توجه به جدول زمانی، این امکان وجود دارد که هر دو مرتبط باشند، اما ما هنوز هیچ ارتباط قوی پیدا نکرده ایم.

IsaacWiper با برشمردن درایوهای فیزیکی شروع می‌شود و DeviceIoControl را با IOCTL IOCTL_STORAGE_GET_DEVICE_NUMBER فراخوانی می‌کند تا شماره دستگاه آن‌ها را دریافت کند. سپس 0x10000 بایت اول هر دیسک را با استفاده از مولد شبه تصادفی ISAAC پاک می کند. مولد با استفاده از مقدار GetTickCount دانه بندی می شود.

سپس درایوهای منطقی را شمارش می‌کند و به صورت بازگشتی هر فایل هر دیسک را با بایت‌های تصادفی که توسط ISAAC PRNG تولید می‌شود پاک می‌کند. جالب است بدانید که به صورت بازگشتی فایل ها را در یک رشته پاک می کند، به این معنی که پاک کردن یک دیسک بزرگ زمان زیادی می برد.

در 25 فوریه 2022، مهاجمان نسخه جدیدی از IsaacWiper را با گزارش اشکال زدایی حذف کردند. این ممکن است نشان دهنده این باشد که مهاجمان قادر به پاک کردن برخی از ماشین های مورد نظر نیستند و پیام های گزارش را برای درک آنچه اتفاق می افتد اضافه کرده اند. گزارش‌ها در C:\ProgramData\log.txt ذخیره می‌شوند و برخی از پیام‌های گزارش عبارتند از:

  • getting drives…
  • start erasing physical drives…
  • –– start erasing logical drive
  • start erasing system physical drive…
  • system physical drive –– FAILED
  • start erasing system logical drive

 

نتیجه

این گزارش یک حمله سایبری مخرب را که در 23 فوریه 2022 بر سازمان‌های اوکراینی تأثیر گذاشت، و حمله دومی که بر یک سازمان اوکراینی دیگر از 24 تا 26 فوریه 2022 تأثیر گذاشت، توضیح می‌دهد. در این مرحله، ما هیچ نشانه‌ای مبنی بر هدف قرار گرفتن سایر کشورها نداریم.

با این حال، به دلیل بحران کنونی در اوکراین، همچنان این خطر وجود دارد که همان عوامل تهدید، کمپین های بیشتری را علیه کشورهایی که از دولت اوکراین حمایت می کنند یا نهادهای روسی را تحریم می کنند، راه اندازی کنند.

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.