بر اساس روشهای مشاهده شده و قابلیتهای مشابه با بدافزارهای مخرب استفاده شده در حملات علیه اوکراین، این حمله به گروههای تهدید پیشرفته مداوم (APT) مرتبط با روسیه نسبت داده میشود.
دستورات صادر شده توسط کنسول ابزار مدیریتی توسط کلاینت آن در نقاط پایانی قربانی دریافت و به صورت فایل دستهای (BAT) اجرا شد. این فایل BAT شامل دستوری برای اجرای یک فایل Visual Basic Script مخرب به نام “uacinstall.vbs” در پوشه TEMP ویندوز بود که از طریق کنسول مدیریتی به دستگاهها ارسال شده بود.
اسکریپت VBScript فایل باینری wiper را با نام “sha256sum.exe” در همان پوشه قرار داد و آن را اجرا کرد. در طول حمله، نام فایلها و اقدامات انجام شده به گونهای طراحی شده بودند که عملکرد عادی کنسول مدیریتی را تقلید کنند. این نشان میدهد که مهاجمان از قبل با کنسول و احتمالاً عملکرد آن در محیط سازمان قربانی آشنا بودند.
PathWiper پس از اجرا، فهرستی از رسانههای ذخیرهسازی متصل شامل نام درایوهای فیزیکی، نام و مسیر حجمها و مسیرهای درایو شبکه را جمعآوری میکند. سپس برای هر مسیر ثبت شده، یک رشته برای هر درایو و حجم ایجاد کرده و محتویات آنها را با بایتهای تصادفی بازنویسی میکند.
این بدافزار به طور خاص موارد زیر را هدف قرار میدهد: Master Boot Record (MBR)، $MFT، $MFTMirr، $LogFile، $Boot، $Bitmap، $TxfLog، $Tops و $AttrDef. علاوه بر این، PathWiper فایلهای روی دیسک را با بازنویسی با بایتهای تصادفی به طور غیرقابل بازگشت از بین میبرد و سعی میکند حجمها را جدا کند.
PathWiper شباهتهایی با HermeticWiper دارد که همزمان با تهاجم نظامی تمام عیار روسیه به اوکراین در فوریه 2024 شناسایی شد. HermeticWiper به گروه Sandworm مرتبط با روسیه نسبت داده میشود. در حالی که هر دو wiper سعی در خراب کردن MBR و آرتیفکتهای مرتبط با NTFS دارند، روش مکانیزم خرابی داده در آنها متفاوت است.
محققان میگویند: “تکامل مداوم انواع بدافزارهای wiper تهدید مستمر علیه زیرساختهای حیاتی اوکراین را با وجود طولانی بودن جنگ روسیه و اوکراین برجسته میکند.”
گروه Silent Werewolf روسیه و مولداوی را هدف قرار میدهد
همزمان با کشف این بدافزار جدید علیه اوکراین، شرکت امنیت سایبری روسی BI.ZONE دو کمپین جدید توسط Silent Werewolf در مارس 2025 را کشف کرد که شرکتهای مولداوی و روسی را با بدافزار آلوده کردند.
مهاجمان از دو نمونه loader جداگانه برای دریافت محموله مخرب از سرور C2 خود استفاده کردند. متأسفانه محموله در زمان تحقیق در دسترس نبود، اما تحلیل گذشتهنگر کمپینهای مشابه Silent Werewolf نشان میدهد که این گروه احتمالاً از بدافزار XDigo استفاده کرده است.
برخی از اهداف حملات شامل بخشهای هستهای، هواپیمایی، ابزار دقیق و مهندسی مکانیک در روسیه بودند. نقطه شروع یک ایمیل فیشینگ حاوی پیوست ZIP است که شامل یک فایل LNK و یک آرشیو ZIP تودرتو میباشد.
فایل ZIP دوم شامل یک باینری مشروع، یک DLL مخرب و یک PDF فریبنده است. باز کردن و اجرای فایل میانبر ویندوز باعث استخراج آرشیو تودرتو و در نهایت بارگذاری جانبی DLL مخرب از طریق فایل اجرایی مشروع میشود.
DLL یک loader به زبان C# است که برای دریافت محموله مرحله بعدی از سرور راه دور و نمایش سند فریبنده به قربانی طراحی شده است. BI.ZONE میگوید: “به نظر میرسد مهاجمان بررسیهایی روی سیستمهای هدف انجام میدهند. اگر میزبان هدف معیارهای خاصی را برآورده نکند، مدل زبان بزرگ Llama 2 در فرمت GGUF دانلود میشود.”
این امر تحلیل جامع کل حمله را دشوار میکند و به مهاجم اجازه میدهد از دفاعهایی مانند sandbox عبور کند.
این شرکت امنیت سایبری گفت که کمپین دومی را در همان ماه مشاهده کرد که بخشهای ناشناخته در مولداوی و احتمالاً روسیه را با استفاده از همان loader به زبان C# هدف قرار داد، اما از طریق طعمههای فیشینگ مرتبط با برنامههای تعطیلات رسمی و توصیههایی برای محافظت از زیرساخت اطلاعاتی شرکت در برابر حملات باجافزار.
بر اساس BI.ZONE، این گروه جاسوسی سایبری از حداقل سال 2011 فعال بوده و طیف وسیعی از شرکتها در روسیه، بلاروس، اوکراین، مولداوی و صربستان را هدف قرار داده است. این حملات با استفاده از طعمههای فیشینگ برای ارسال بدافزارهایی مانند XDSpy، XDigo و DSDownloader مشخص میشوند.
گروه هکتیویست طرفدار اوکراین BO Team روسیه را هدف قرار میدهد
در ماههای اخیر، شرکتها و سازمانهای دولتی روسیه در بخشهای فناوری، مخابرات و تولید نیز تحت حملات سایبری گروه هکتیویست طرفدار اوکراین به نام BO Team قرار گرفتهاند.
محققان Kaspersky در گزارشی اعلام کردند: “BO Team تهدیدی جدی است که هدف آن هم ایجاد حداکثر آسیب به قربانی و هم کسب منافع مالی است.” این گروه توانایی خرابکاری در زیرساخت قربانی را دارد و در برخی موارد حتی به رمزگذاری دادهها و اخاذی متوسل میشود.
این گروه که از حداقل ژانویه 2024 فعال است، از چارچوبهای پس از بهرهبرداری از جمله Mythic و Cobalt Strike و همچنین ابزارهای دسترسی از راه دور و تونلزنی مشروع استفاده میکند.
این گروه سابقه دسترسی به دادههای محرمانه و انتشار اطلاعات درباره حملات موفق در کانال تلگرام خود دارد. دسترسی اولیه به شبکههای هدف از طریق ارسال ایمیلهای فیشینگ حاوی پیوستهای تلهگذاری شده انجام میشود که پس از باز شدن، زنجیره آلودگی طراحی شده برای استقرار خانوادههای بدافزار شناخته شده مانند DarkGate، BrockenDoor و Remcos RAT را فعال میکنند.
همچنین از ابزارهایی مانند HandleKatz و NanoDump برای تخلیه LSASS استفاده میشود. با دسترسی از راه دور، BO Team نسخههای پشتیبان فایل را از بین میبرد، فایلها را با استفاده از ابزار SDelete حذف میکند و نسخه ویندوز رمزگذار Babuk را برای درخواست باج در ازای بازیابی دسترسی قرار میدهد.
برخی از فعالیتهای دیگر این گروه عبارتند از:
• تنظیم ماندگاری با استفاده از وظایف زمانبندی شده
• اختصاص نامهای مؤلفه مخرب مشابه فایلهای اجرایی سیستم یا شناخته شده برای فرار از شناسایی
• استخراج پایگاه داده Active Directory با استفاده از ntdsutil
• اجرای دستورات مختلف برای جمعآوری اطلاعات درباره تلگرام، فرآیندهای در حال اجرا، کاربران فعلی، جلسات RDP از راه دور و نرمافزار آنتیویروس نصب شده
• استفاده از پروتکلهای RDP و SSH برای حرکت جانبی در زیرساختهای ویندوز و لینوکس
• قرار دادن نرمافزار دسترسی از راه دور مشروع مانند AnyDesk برای فرماندهی و کنترل
Kaspersky میگوید: “گروه BO Team به دلیل رویکرد غیرمعمول خود در انجام حملات، تهدید قابل توجهی برای سازمانهای روسی محسوب میشود. برخلاف اکثر گروههای هکتیویست طرفدار اوکراین، BO Team به طور فعال از طیف وسیعی از بدافزارها از جمله backdoorهایی مانند BrockenDoor، Remcos و DarkGate استفاده میکند.”
این ویژگیها سطح بالای استقلال گروه و عدم ارتباط پایدار با سایر نمایندگان خوشه هکتیویست طرفدار اوکراین را تأیید میکند. در فعالیت عمومی BO Team، عملاً هیچ نشانهای از تعامل، هماهنگی یا تبادل ابزار با گروههای دیگر وجود ندارد. این موضوع یک بار دیگر بر نمایه منحصر به فرد آن در چشمانداز هکتیویستی فعلی در روسیه تأکید میکند.
کلمات کلیدی : بدافزار PathWiper, زیرساخت حیاتی اوکراین, گروه Silent Werewolf, حملات سایبری روسیه, گروه هکتیویست BO Team, بدافزار HermeticWiper
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.