آخرین گزارش حملات سایبری اخیر بین روسیه و اوکراین

هدف قرار دادن زیرساخت‌های حیاتی اوکراین  توسط بدافزار PathWiper

Cisco Talos گزارش داد که یک نهاد زیرساخت حیاتی در اوکراین هدف بدافزار ناشناخته‌ای به نام PathWiper قرار گرفته است. این حمله از طریق یک فریم‌ورک مدیریتی معتبر اندوپوینت اجرا شده، که نشان می‌دهد مهاجمان احتمالا به کنسول مدیریت دسترسی داشته و از آن برای صدور دستورات مخرب و انتشار PathWiper در اندپوینت‎‎‌های متصل استفاده کرده‌اند.

Talos بر اساس تکنیک‌های مشاهده‌شده و شباهت با بدافزارهای تخریبی پیشین علیه اوکراین، این حمله را به یک گروه تهدید پیشرفته پایدار (APT) مرتبط با روسیه نسبت داد. دستورات از کنسول ابزار مدیریت به کلاینت‌های نصب‌شده روی دستگاه‌های قربانی ارسال و به‌صورت فایل BAT اجرا شدند. این فایل شامل دستوری برای اجرای یک اسکریپت VBScript مخرب به نام uacinstall.vbs در پوشه TEMP ویندوز است که از طریق کنسول مدیریت منتشر شده‌است. این اسکریپت، فایل اجرایی وایپر را با نام sha256sum.exe در همان پوشه قرار داده و اجرا می‌کند.

Talos اعلام کرد که نام فایل‌ها و اقدامات در حمله برای تقلید از کنسول ابزار مدیریت انتخاب شده‌اند، که نشان‌دهنده آگاهی مهاجمان از عملکرد این ابزار در محیط قربانی است. PathWiper پس از اجرا، فهرستی از رسانه‌های ذخیره‌سازی متصل، شامل نام درایوهای فیزیکی، نام و مسیرهای ولوم‌ها و مسیرهای درایوهای شبکه‌ای را جمع‌آوری می‌کند. سپس برای هر درایو و ولوم، رشته‌ای ایجاد کرده و محتوای آرتیفکت‌ها را با بایت‌های تصادفی بازنویسی می‌کند.

این بدافزار به‌طور خاص Master Boot Record (MBR)، $MFT، $MFTMirr، $LogFile، $Boot، $Bitmap، $TxfLog، $Tops و $AttrDef را هدف قرار داده، فایل‌ها را با بایت‌های تصادفی بازنویسی کرده و ولوم‌ها را از دسترس خارج می‌کند. PathWiper شباهت‌هایی با HermeticWiper، که در فوریه ۲۰۲۴ همزمان با تهاجم نظامی روسیه به اوکراین شناسایی شد، دارد. هر دو وایپر MBR و آرتیفکت‌های NTFS را تخریب می‌کنند؛ اما مکانیزم تخریب داده‌ها متفاوت است.

Talos هشدار داد که تکامل گونه‌های بدافزار وایپر، تهدید مداوم علیه زیرساخت‌های حیاتی اوکراین را، با وجود طولانی شدن جنگ روسیه و اوکراین، نشان می‌دهد.

حملات Silent Werewolf علیه روسیه و مولداوی

BI.ZONE گزارش داد که گروه Silent Werewolf در مارس ۲۰۲۵ دو کمپین علیه شرکت‌های مولداوی و روسی در بخش‌های هسته‌ای، هوانوردی، ابزار دقیق و مهندسی مکانیک اجرا کرده است. مهاجمان از دو لودر جداگانه برای دریافت پیلود مخرب از سرور C2 استفاده کردند. اگرچه پیلود نهایی در زمان تحقیق در دسترس نبود، تحلیل گذشته نشان می‌دهد که احتمالا از بدافزار XDigo استفاده شده است.

کمپین اول با ایمیل فیشینگ حاوی فایل ZIP آغاز می‌شود که شامل یک فایل LNK و یک آرشیو ZIP تو در تو است. آرشیو دوم شامل یک باینری معتبر، یک DLL مخرب و یک PDF فریبنده است. اجرای فایل LNK، آرشیو را استخراج کرده و DLL مخرب (d3d9.dll، یک لودر C#) را از طریق باینری معتبر (DeviceMetadataWizard.exe) بارگذاری می‌کند. این لودر پیلود بعدی را از سرور راه‌دور دریافت کرده و داکیومنت فریبنده را نمایش می‌دهد. BI.ZONE اعلام کرد که مهاجمان سیستم‌های هدف را بررسی می‌کنند و در صورت عدم تطابق با معیارها، مدل زبانی Llama 2 را از huggingface.co دانلود می‌کنند تا تحلیل کامل حمله را دشوار کرده و از دفاع‌هایی مانند سندباکس‌ها عبور کنند.

کمپین دوم در همان ماه با فریب‌های فیشینگ مرتبط با برنامه‌های تعطیلات رسمی و توصیه‌های حفاظت از زیرساخت‌های شرکتی، بخش‌های نامعلومی در مولداوی و احتمالا روسیه را هدف قرار داده‌است. BI.ZONE افزود که Silent Werewolf از سال 2011 فعال بوده و شرکت‌هایی در روسیه، بلاروس، اوکراین، مولداوی و صربستان را با بدافزارهایی مانند XDSpy، XDigo و DSDownloader هدف قرار داده است.

حملات گروه BO Team علیه روسیه

Kaspersky گزارش داد که گروه هکتیویست طرفدار اوکراین، BO Team (ملقب به Black Owl، Hoody Hyena و Lifting Zmiy) ، از ژانویه ۲۰۲۴ شرکت‌های دولتی و سازمان‌های فناوری، مخابرات و تولیدی روسیه را هدف قرار داده است. این گروه با هدف تخریب زیرساخت‌ها و کسب سود مالی، از فریم‌ورک‌های پس از ‌نفوذ مانند Mythic و Cobalt Strike و ابزارهای دسترسی راه‌دور معتبر استفاده می‌کند. همچنین، اطلاعات حملات موفق را در کانال تلگرامی خود منتشر می‌کند.

دسترسی اولیه از طریق ایمیل‌های فیشینگ با پیوست‌های آلوده انجام می‌شود که زنجیره‌ای برای انتشار بدافزارهایی مانند DarkGate، BrockenDoor و Remcos RAT را فعال می‌کند. ابزارهایی مانند HandleKatz و NanoDump برای استخراج LSASS استفاده می‌شوند. BO Team با تخریب نسخه‌های بکاپ، حذف فایل‌ها با SDelete و رمزگذاری داده‌ها با نسخه ویندوزی رمزگذار Babuk، باج‌خواهی می‌کند.

Kaspersky اعلام کرد که BO Team عملیات های زیر را نیز انجام می‌دهد:

• ایجاد پایداری از طریق وظایف زمان‌بندی‌شده
• استفاده از نام‌های مشابه فایل‌های سیستمی
• استخراج پایگاه داده Active Directory با ntdsutil
• اجرای دستورات برای جمع‌آوری اطلاعات در مورد تلگرام، فرآیندهای در حال اجرا و آنتی ویروس های نصب شده روی سیستم قربانی
• استفاده از RDP و SSHبرای گسترش در زیرساخت‌های ویندوز و لینوکس
• استفاده از نرم‌افزارهای معتبر مانند AnyDesk برای فرمان و کنترل

Kaspersky تأکید کرد که BO Team به دلیل استفاده گسترده از بدافزارها (BrockenDoor, Remcos, and DarkGate) و استقلال از دیگر گروه‌های هکتیویست طرفدار اوکراین، تهدیدی جدی برای سازمان‌های روسی است و هیچ نشانه‌ای از هماهنگی با گروه‌های دیگر ندارد.

منابع: