Entitas infrastruktur kritis di Ukraina ditargetkan oleh malware penghapus data yang sebelumnya tidak terlihat bernama Pathwiper, menurut temuan baru dari Cisco Talos.
“Serangan itu diinstrumentasi melalui kerangka kerja administrasi titik akhir yang sah, yang menunjukkan bahwa para penyerang kemungkinan memiliki akses ke konsol administratif, yang kemudian digunakan untuk mengeluarkan perintah jahat dan menggunakan pathwiper di titik akhir yang terhubung,” kata para peneliti Jacob Finn, Dmytro Korzhevin, dan Asheer Malhotra mengatakan dalam sebuah analisis yang diterbitkan Kamis.
Serangan itu dinilai sebagai pekerjaan aktor ancaman persisten Rusia-Nexus (APT) berdasarkan pada Tradecraft yang diamati dan kemampuan yang tumpang tindih dengan malware destruktif yang digunakan dalam serangan terhadap Ukraina.
Talos mengatakan perintah yang dikeluarkan oleh konsol alat administratif diterima oleh kliennya yang berjalan pada titik akhir korban dan kemudian dieksekusi sebagai file batch (BAT).
File kelelawar, pada gilirannya, terdiri dari perintah untuk menjalankan file skrip visual dasar (VBScript) yang berbahaya di folder windows temp yang disebut “uacinstall.vbs,” yang juga didorong ke mesin melalui konsol administratif. VBScript, untuk bagiannya, menjatuhkan biner wiper dengan nama “sha256sum.exe” di folder yang sama dan mengeksekusi.
“Sepanjang serangan, nama file dan tindakan yang digunakan dimaksudkan untuk meniru yang dikerahkan oleh konsol utilitas administratif, menunjukkan bahwa para penyerang memiliki pengetahuan sebelumnya tentang konsol dan mungkin fungsinya dalam lingkungan perusahaan korban,” kata Talos.
Setelah diluncurkan, Pathwiper dirancang untuk mengumpulkan daftar media penyimpanan yang terhubung, termasuk nama drive fisik, nama volume dan jalur, dan jalur penggerak jaringan. Wiper kemudian melanjutkan untuk membuat satu utas per drive dan volume untuk setiap jalur yang direkam dan menimpa isi artefak dengan byte yang dihasilkan secara acak.
Secara khusus, itu menargetkan: Master Boot Record (MBR), $ MFT, $ MFTMIRR, $ LOGFILE, $ BOOT, $ BITMAP, $ TXFLOG, $ TOPS, dan $ ATTRDEF. Selain itu, Pathwiper secara tidak dapat dibatalkan menghancurkan file pada disk dengan menimpa mereka dengan byte acak dan upaya untuk menurunkan volume.
Pathwiper telah ditemukan berbagi beberapa tingkat kesamaan dengan Hermeticwiper (alias Foxblade, Killdisk, atau NearMiss), yang terdeteksi bertepatan dengan invasi militer skala penuh Rusia ke Ukraina pada Februari 2024. Malware Hermeticwiper dikaitkan dengan kelompok sandworm yang terhubung dengan Rusia.
Sementara kedua wiper berusaha untuk merusak artefak terkait MBR dan NTFS, perlu mencatat bahwa hermeticwiper dan pathwiper berbeda dalam cara data korupsi data digunakan untuk melawan drive dan volume yang diidentifikasi.
“Evolusi berkelanjutan dari varian malware penghapus menyoroti ancaman yang sedang berlangsung terhadap infrastruktur kritis Ukraina meskipun memiliki umur panjang perang Rusia-Ukraina,” kata para peneliti.
Silent Werewolf menargetkan Rusia dan Moldova
Penemuan baru jenis malware wiper melawan Ukraina datang ketika perusahaan cybersecurity Rusia Bi.Zone mengungkap dua kampanye baru yang dilakukan oleh Silent Werewolf pada Maret 2025 untuk menginfeksi perusahaan Moldovan dan Rusia dengan malware.
“Para penyerang menggunakan dua contoh loader terpisah untuk mengambil muatan jahat dari server C2 mereka,” kata perusahaan itu. “Sayangnya, muatan itu sendiri tidak tersedia pada saat penelitian ini. Namun, analisis retrospektif dari kampanye serigala diam yang sama menunjukkan bahwa aktor ancaman menggunakan malware XDIGO.”
Beberapa target serangan termasuk nuklir, pesawat terbang, instrumentasi, dan sektor rekayasa mesin di Rusia. Titik awalnya adalah email phishing yang berisi lampiran file zip yang, pada gilirannya, termasuk file LNK dan arsip zip bersarang. File zip kedua terdiri dari biner yang sah, DLL jahat, dan umpan PDF.
Membongkar dan meluncurkan file jalan pintas Windows memicu ekstraksi arsip bersarang dan akhirnya menyebabkan DLL nakal diisi melalui yang dapat dieksekusi yang sah (“DeviceMetAdataWizard.exe”). DLL adalah c# loader (“d3d9.dll”) yang dirancang untuk mengambil muatan tahap berikutnya dari server jarak jauh dan menampilkan dokumen umpan kepada korban.
“Musuh tampaknya menjalankan pemeriksaan pada sistem target,” kata Bi.Zone. “Jika target host tidak memenuhi kriteria tertentu, model Llama 2 Large Language (LLM) dalam format GGUF diunduh dari hxxps: // huggingface[.]Co/TheBloke/llama-2-70b-gguf/resolve/main/llama-2-70b.q5_k_m.gguf. “
“Ini menghambat analisis komprehensif dari seluruh serangan dan memungkinkan aktor ancaman untuk memotong pertahanan seperti kotak pasir.”
Perusahaan cybersecurity itu mengatakan mengamati kampanye kedua pada bulan yang sama yang menargetkan sektor -sektor yang tidak diketahui di Moldova dan, kemungkinan, Rusia menggunakan c# loader yang sama, tetapi melalui umpan phishing terkait dengan jadwal liburan resmi dan rekomendasi untuk melindungi infrastruktur informasi perusahaan terhadap serangan ransomware.
Kelompok spionase cyber, per bi.zone, diyakini aktif setidaknya sejak 2011, menargetkan berbagai perusahaan di Rusia, Belarus, Ukraina, Moldova dan Serbia. Serangan tersebut ditandai dengan penggunaan umpan phishing untuk memberikan malware seperti XDSPY, XDIGO, dan DSDownloader.
Grup Hacktivist Pro-Ukraina Bo Team Target Rusia
Dalam beberapa bulan terakhir, perusahaan dan organisasi milik negara Rusia yang mencakup teknologi, telekomunikasi, dan vertikal produksi juga dikatakan telah berada di bawah serangan dunia maya dari kelompok peretas pro-Ukraina yang diberi kode tim BO (alias Black Owl, Hoody Hyena, dan Lifting Zmiy).
“Tim BO adalah ancaman serius yang ditujukan untuk menyebabkan kerusakan maksimal pada korban dan mengekstraksi manfaat finansial,” kata para peneliti Kaspersky dalam sebuah laporan pekan lalu, merinci kemampuan aktor ancaman untuk menyabot infrastruktur korban dan, dalam beberapa kasus, bahkan menggunakan enkripsi dan pemerasan data.
Aktif sejak setidaknya Januari 2024, serangan yang dipasang oleh cluster peretas diketahui memanfaatkan kerangka kerja pasca-eksploitasi, termasuk mitos dan pemogokan kobalt, serta akses jarak jauh dan alat tunneling yang sah. Grup ini juga memiliki riwayat mengakses data rahasia dan menerbitkan informasi tentang serangan yang berhasil dalam tim Telegram Channel BO.
Akses awal ke jaringan target dilakukan dengan mengirim email phishing yang berisi lampiran terperangkap booby yang, ketika dibuka, mengaktifkan rantai infeksi yang dirancang untuk menggunakan keluarga malware komoditas yang diketahui seperti Darkgate, Brockendoor, dan Remcos Rat. Juga digunakan adalah alat -alat seperti candekatz dan nanodump untuk membuang LSASS dan membuat dump LSASS.
Berbekal akses jarak jauh, tim BO telah diamati menghancurkan cadangan file, menghapus file menggunakan utilitas sdelete, dan juga menjatuhkan versi Windows dari encryptor Babuk untuk menuntut tebusan dengan imbalan mendapatkan kembali akses.
Beberapa kegiatan lain yang dilakukan oleh aktor ancaman tercantum di bawah ini –
- Menyiapkan Kegigihan Menggunakan Tugas Terjadwal
- Menetapkan nama komponen berbahaya yang mirip dengan sistem atau file yang dapat dieksekusi yang terkenal untuk menghindari deteksi
- Mengekstraksi database Direktori Aktif menggunakan NTDSUTIL
- Menjalankan berbagai perintah untuk mengumpulkan informasi tentang telegram, proses berjalan, pengguna saat ini, sesi RDP jarak jauh, dan perangkat lunak antivirus yang diinstal pada titik akhir
- Menggunakan protokol RDP dan SSH untuk melakukan gerakan lateral dalam infrastruktur Windows dan Linux
- Menjatuhkan perangkat lunak akses jarak jauh yang sah seperti anydesk untuk perintah dan kontrol
“Kelompok tim BO merupakan ancaman yang signifikan bagi organisasi Rusia karena pendekatannya yang tidak konvensional untuk melakukan serangan,” kata Kaspersky. “Tidak seperti kebanyakan kelompok peretas pro-Ukraina, Bo Team secara aktif menggunakan gudang malware yang luas, termasuk pintu belakang seperti Brockendoor, Remcos, dan Darkgate.”
“Fitur-fitur ini mengkonfirmasi tingginya tingkat otonomi kelompok dan tidak adanya koneksi yang stabil dengan perwakilan lain dari kelompok peretas pro-Ukraina. Dalam aktivitas publik tim BO, praktis tidak ada tanda-tanda interaksi, koordinasi atau pertukaran alat dengan kelompok lain. Ini sekali lagi menekankan profil uniknya dalam lanskap peretas saat ini di Rusia.”
