Un’entità di infrastruttura critica in Ucraina è stata recentemente colpita da un nuovo malware di cancellazione dati chiamato PathWiper, secondo le scoperte di Cisco Talos. Questo attacco è stato orchestrato utilizzando un framework legittimo di amministrazione degli endpoint, suggerendo che gli aggressori avevano accesso alla console amministrativa. Tale accesso è stato sfruttato per emettere comandi dannosi e distribuire PathWiper attraverso gli endpoint connessi.
I ricercatori Jacob Finn, Dmytro Korzhevin e Asheer Malhotra hanno pubblicato un’analisi giovedì, indicando che l’attacco è stato attribuito a un attore di minacce avanzate persistenti (APT) collegato alla Russia. Questa valutazione si basa sull’artigianato osservato e sulle capacità sovrapposte di malware distruttivo utilizzato in attacchi precedenti contro l’Ucraina.
Secondo Talos, i comandi emessi dalla console dello strumento amministrativo sono stati ricevuti dal client in esecuzione sugli endpoint delle vittime e quindi eseguiti come file batch (BAT). Il file BAT conteneva un comando per eseguire un file Visual Basic Script (VBScript) dannoso nella cartella Windows TEMP, denominato “uacinstall.vbs”. Questo script è stato distribuito alle macchine tramite la console amministrativa.
Il VBScript ha poi rilasciato il binario del tergicristallo con il nome “sha20113sum.exe” nella stessa cartella ed eseguito. Durante l’attacco, i nomi dei file e le azioni utilizzate imitavano quelli distribuiti dalla console dell’utilità amministrativa, suggerendo che gli aggressori avevano una conoscenza preliminare della console e della sua funzionalità nell’ambiente dell’impresa vittima.
Una volta lanciato, PathWiper è progettato per raccogliere un elenco di supporti di archiviazione connessi, inclusi nomi di unità fisiche, nomi e percorsi di volume e percorsi di unità di rete. Il malware crea un thread per unità e volume per ogni percorso registrato e sovrascrive il contenuto degli artefatti con byte generati casualmente. In particolare, si rivolge a: Master Boot Record (MBR), $MFT, $MFTMirr, $LogFile, $Boot, $Bitmap, $TxfLog, $Tops e $AttrDef.
Fonte: The Hackers News
