Эксперты провели анализ вайпера WhisperGate

Вт 25 Январь 2022 10:34

Вредоносное ПО, использованное в ходе атак на украинские правительственные web-сайты, похоже на вайпер NotPetya, но имеет больше возможностей, «предназначенных для нанесения дополнительного ущерба».

Напомним, в январе нынешнего года компания Microsoft обнаружила свидетельства деструктивной операции вредоносного ПО, нацеленной на несколько организаций в Украине. Вредоносное ПО появилось на системах ряда государственных, некоммерческих и информационных организаций 13 января 2022 года. По данным Службы безопасности Украины, Государственной специальной службы и Киберполиции, волна атак привела к нарушениям в работе не менее 70 web-сайтов и еще 10 подверглись «несанкционированному вмешательству». Злоумышленники в ходе вредоносной кампании использовали украденные учетные данные и, вероятно, имели доступ к сети жертвы за несколько месяцев до атаки, что является типичной характеристикой APT-группировок.

По словам экспертов из Cisco Talos, в атаках WhisperGate использовалось несколько вайперов. Один из них в ходе атаки пытается уничтожить главную загрузочную запись (Master boot record, MBR) и нейтрализовать любые варианты восстановления.

«Подобно печально известному вайперу NotPetya, который маскировался под программу-вымогатель во время кампании 2017 года, WhisperGate не предназначен для фактической попытки требования выкупа, поскольку MBR полностью перезаписывается», — говорят исследователи.

Поскольку многие современные системы в настоящее время переходят на таблицы разделов GUID (GPT), данный исполняемый файл может оказаться плохой мишенью, поэтому в цепочку атаки была включен дополнительный вайпер.

На втором этапе загрузчик извлекает код, необходимый для третьего этапа. После того, как PowerShell-команда в кодировке base64 будет выполнена дважды, оконечная точка получает запрос на переход в спящий режим на 20 секунд. URL-адрес Discord-сервера, встроенный в загрузчик, затем пингуется, чтобы получить DLL-файл.

DLL-библиотека, написанная на языке программирования C#, обфусцируется с помощью Eazfuscator. DLL-файл устанавливает и запускает основную полезную нагрузку вайпера через VBScript. Кроме того, настройки Защитника Windows изменяются, чтобы исключить диск с вредоносом из списка сканирования.

Полезная нагрузка вайпера четвертого этапа, вероятно, представляет собой план на случай непредвиденных обстоятельств. Вайпер ищет локальные и удаленные логические диски. Затем происходит перечисление, и файлы стираются на дисках за пределами каталога «%HOMEDRIVE%\Windows». Файлы с одним из 192 расширений, включая .HTML, .PPT, .JPG, .RAR, .SQL и .KEY, уничтожаются.

«Вайпер перезаписывает содержимое каждого файла 1 МБ байтов 0xCC и переименует их, добавив к каждому имени файла случайное четырехбайтное расширение. После завершения процесса очистки он выполняет отложенное выполнение команды с помощью Ping для удаления InstallerUtil.exe из каталога %TEMP%. Наконец, он пытается сбросить все файловые буферы на диск и остановить все запущенные процессы (включая себя) с помощью вызов ExitWindowsEx Windows API с флагом EWX_SHUTDOWN», — пояснили эксперты.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 59 дней 2 часа 49 минут 20 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.