Вайпер похож на NotPetya, но имеет больше возможностей для нанесения дополнительного ущерба.
Вредоносное ПО, использованное в ходе атак на украинские правительственные web-сайты, похоже на вайпер NotPetya, но имеет больше возможностей, «предназначенных для нанесения дополнительного ущерба».
Напомним, в январе нынешнего года компания Microsoft обнаружила свидетельства деструктивной операции вредоносного ПО, нацеленной на несколько организаций в Украине. Вредоносное ПО появилось на системах ряда государственных, некоммерческих и информационных организаций 13 января 2022 года. По данным Службы безопасности Украины, Государственной специальной службы и Киберполиции, волна атак привела к нарушениям в работе не менее 70 web-сайтов и еще 10 подверглись «несанкционированному вмешательству».
Злоумышленники в ходе вредоносной кампании использовали украденные учетные данные и, вероятно, имели доступ к сети жертвы за несколько месяцев до атаки, что является типичной характеристикой APT-группировок.
По словам экспертов из Cisco Talos, в атаках WhisperGate использовалось несколько вайперов. Один из них в ходе атаки пытается уничтожить главную загрузочную запись (Master boot record, MBR) и нейтрализовать любые варианты восстановления.
«Подобно печально известному вайперу NotPetya, который маскировался под программу-вымогатель во время кампании 2017 года, WhisperGate не предназначен для фактической попытки требования выкупа, поскольку MBR полностью перезаписывается», — говорят исследователи.
Поскольку многие современные системы в настоящее время переходят на таблицы разделов GUID (GPT), данный исполняемый файл может оказаться плохой мишенью, поэтому в цепочку атаки была включен дополнительный вайпер.
На втором этапе загрузчик извлекает код, необходимый для третьего этапа. После того, как PowerShell-команда в кодировке base64 будет выполнена дважды, оконечная точка получает запрос на переход в спящий режим на 20 секунд. URL-адрес Discord-сервера, встроенный в загрузчик, затем пингуется, чтобы получить DLL-файл.
DLL-библиотека, написанная на языке программирования C#, обфусцируется с помощью Eazfuscator. DLL-файл устанавливает и запускает основную полезную нагрузку вайпера через VBScript. Кроме того, настройки Защитника Windows изменяются, чтобы исключить диск с вредоносом из списка сканирования.
Полезная нагрузка вайпера четвертого этапа, вероятно, представляет собой план на случай непредвиденных обстоятельств. Вайпер ищет локальные и удаленные логические диски. Затем происходит перечисление, и файлы стираются на дисках за пределами каталога «%HOMEDRIVE%\Windows». Файлы с одним из 192 расширений, включая .HTML, .PPT, .JPG, .RAR, .SQL и .KEY, уничтожаются.
«Вайпер перезаписывает содержимое каждого файла 1 МБ байтов 0xCC и переименует их, добавив к каждому имени файла случайное четырехбайтное расширение. После завершения процесса очистки он выполняет отложенное выполнение команды с помощью Ping для удаления InstallerUtil.exe из каталога %TEMP%. Наконец, он пытается сбросить все файловые буферы на диск и остановить все запущенные процессы (включая себя) с помощью вызов ExitWindowsEx Windows API с флагом EWX_SHUTDOWN», — пояснили эксперты.
Сбалансированная диета для серого вещества