ESET-forskare har detaljerat en ny cyberattackkampanj riktad mot ukrainska organisationer mitt i kriget som förs mot Ryssland.
Kampanjen har flera komponenter som utnyttjas av hotaktörer, alla orelaterade till varandra än så länge. Dessa är mestadels torkare och spridande trojaner, med tillskrivning till ingen känd hotaktör ännu. Forskare har listat IOC:s och MITER:s attacktekniker av alla dessa för att identifiera och försvara.
Torkare Malware Against Ukraine Orgs
Säkerhetsbyråer och experter har länge varnat för att cyberattacker mot Ukraina kan växa under de kommande dagarna, eftersom nationen ägnar sig åt krig med Ryssland. Och det händer, som vi ser en ny kampanj noterad av ESET-forskarna i det vilda.
Brytning. #ESETforskning upptäckte en ny skadlig kod som används i Ukraina idag. ESET-telemetri visar att den installerades på hundratals maskiner i landet. Detta följer efter DDoS-attackerna mot flera ukrainska webbplatser tidigare idag 1/n
— ESET-forskning (@ESETresearch) 23 februari 2022
Detta sägs vara en destruktiv attack mot datorerna i Ukraina, som utnyttjar följande komponenter;
- HermeticWiper: en torkare som korrumperar data och gör systemet obrukbart i slutändan. Denna torkare skadlig programvara sägs kunna torka av sig själv från offersystemet efter sitt jobb, för att förhindra analys efter incidenten av kriminaltekniska utredare.
- HermeticWizard: En spridare av skadlig programvara som för närvarande sprider HermeticWiper över ett offers lokala nätverk via WMI och SMB.
- HermetiskRansom: Skrivet i Go, detta är en ransomware-anteckning som bara sitter i offersystem.
Även om de har gemensamma namn, är alla dessa tre komponenter inte relaterade till varandra för närvarande. Forskare sa att de inte har hittat några länkar eller kodsträngsmatchningar mellan dem.
Dessutom är de initiala attraherande vektorerna inte kända ännu, även om HermeticWiper och HermeticRansom har få ledtrådar för att komma in genom gruppolicy.
Förutom dessa finns det ytterligare en komponent som upptäcktes den 25 februari i några av de ukrainska systemen, känd som IssacWiper. Även om den har en otydlig initial vektor, sägs den använda verktyg som Impacket för att röra sig i sidled.
Dessutom sägs det följa med RemComett fjärråtkomstverktyg tillsammans med IsaacWiper. Även om systemen där IsaacWiper observerades inte påverkades, sågs HermeticWiper i hundratals system i minst fem ukrainska organisationer.
Forskare undersöker fortfarande dessa komponenter för mer detaljer, eftersom de inte har hittat tillförlitliga länkar till någon känd hotaktör än så länge. Men de sa att angriparna har påbörjat den här operationen i god tid, eftersom vissa ledtrådar som tidsstämplar för certifikat som används av dessa komponenter registrerades förra året.