Российская хак-группа Sandworm продолжает пополнять арсенал деструктивного ПО. Словацкая компания ESET описала очередной вайпер под названием NikoWiper, который применялся в октябре 2022 года против энергетической компании на Украине.
Основа — легитимная утилита Microsoft
По данным ESET, NikoWiper построен на базе SDelete — консольной утилиты Microsoft, предназначенной для безопасного, необратимого удаления файлов. Подробности раскрыты в очередном отчёте ESET APT Activity Report, который компания предоставила изданию The Hacker News. Атака совпала по времени с ракетными ударами российских вооружённых сил по украинской энергетической инфраструктуре — исследователи отмечают, что цели киберудара и ракетных обстрелов пересекались.
Новость появилась спустя всего несколько дней после того, как ESET приписала Sandworm ещё один вайпер — SwiftSlicer, написанный на Go. Его применили против неназванной украинской организации 25 января 2023 года.
Робert Липовски, старший исследователь вредоносного ПО в ESET, уточнил The Hacker News: «NikoWiper — это другое вредоносное ПО», отделяя его от SwiftSlicer.
Пять вайперов против Ukrinform
Sandworm, связываемая с ГРУ России, ранее была замешана в частично успешной атаке на национальное информационное агентство Украины Ukrinform, где на скомпрометированных машинах развернули сразу пять разных вайперов. CERT-UA идентифицировал их как CaddyWiper, ZeroWipe, SDelete, AwfulShred и BidSwipe. Первые три нацелены на Windows, а AwfulShred и BidSwipe — на Linux и FreeBSD.
Использование именно SDelete в качестве оружия примечательно: это уже как минимум второй зафиксированный случай, когда Sandworm превращает легитимную утилиту в инструмент необратимого уничтожения данных.
Помимо вайперов, в последних кампаниях Sandworm фигурируют и собственные семейства программ-вымогателей — Prestige и RansomBoggs, которые шифруют данные жертв без возможности восстановления.
Вайперы становятся оружием выбора
Эксперты фиксируют рост популярности деструктивного ПО среди пророссийских хакерских группировок. «Вайперы не использовались широко, поскольку это целевое оружие, — заявил The Hacker News Дмитрий Бестужев из BlackBerry. — Sandworm активно разрабатывает вайперы и программы-вымогатели, предназначенные именно для Украины».
Не одна Sandworm ведёт параллельную работу по подрыву украинской инфраструктуры: APT29, Callisto и Gamaredon также проводят спир-фишинговые кампании для получения бэкдор-доступа и кражи учётных данных.
APT29 маскируется под Notion
Recorded Future, отслеживающая APT29 (также известную как Nobelium) под кодовым именем BlueBravo, связала группу с новой скомпрометированной инфраструктурой, которая, вероятно, используется как приманка для доставки загрузчика вредоносного ПО под названием GraphicalNeutrino.
Загрузчик, чья основная задача — доставка вредоносного ПО следующего этапа, злоупотребляет API сервиса Notion для командно-контрольных (C2) коммуникаций, а также использует его функцию баз данных для хранения информации о жертвах и размещения полезной нагрузки для загрузки.
«Любая страна, связанная с украинским кризисом, особенно имеющая ключевые геополитические, экономические или военные отношения с Россией или Украиной, подвергается повышенному риску атак», — говорится в техническом отчёте Recorded Future, опубликованном на прошлой неделе.
Переход на Notion подчёркивает, по словам исследователей, «расширяющееся, но продолжающееся» использование APT29 популярных легитимных сервисов вроде Dropbox, Google Drive и Trello — так группа маскирует вредоносный трафик и уходит от обнаружения. Хотя вредоносное ПО второго этапа зафиксировано не было, ESET, обнаружившая образец в октябре 2022 года, предположила, что он предназначен для загрузки и запуска Cobalt Strike.
Контекст: год «беспрецедентных» атак
Публикация появилась вскоре после заявления России о том, что в 2022 году страна стала жертвой «скоординированной агрессии» Запада и столкнулась с «беспрецедентными внешними кибератаками» со стороны «спецслужб, транснациональных ИТ-корпораций и хактивистов».
Российско-украинский конфликт вступает в двенадцатый месяц, и пока неясно, как будет развиваться его киберизмерение. «За минувший год мы наблюдали волны повышенной активности — например, весной после вторжения, осенью, и более спокойные летние месяцы, — но в целом атаки идут практически непрерывным потоком, — отметил Липовски. — Так что в одном мы можем быть уверены: атак будет только больше».
Источник: The Hacker News.