Una entidad de infraestructura crítica adentro de Ucrania fue atacada por un malware de limpiaparabrisas previamente invisible llamado PathWiper, según nuevos hallazgos de Cisco Talos.
“El ataque se instrumentó a través de un entorno de distribución de punto final cierto, lo que indica que los atacantes probablemente tenían entrada a la consola administrativa, que luego se usó para emitir comandos maliciosos y desplegar el revestimiento de ruta en los puntos finales conectados”, dijeron los investigadores Jacob Finn, Dmytro Korzhevin, y Asheer Malhotra, dijeron en un examen publicado el jueves.
Se evalúa que el ataque es el trabajo de un actor de amenaza persistente (APT) avanzadilla de Rusia-Nexus basado en la artesanía observada y las capacidades superpuestas con el malware destructivo utilizado en los ataques contra Ucrania.
Talos dijo que los comandos emitidos por la consola de la utensilio administrativa fueron recibidos por su cliente que se ejecutaba en los puntos finales de la víctima y luego se ejecutaron como un archivo por lotes (BAT).
El archivo BAT, a su vez, consistió en un comando para ejecutar un archivo de script de Visual Basic ladino (VBScript) en la carpeta TEMP de Windows emplazamiento “UaCinstall.vbs”, que igualmente fue empujado a las máquinas a través de la consola administrativa. El VBScript, por su parte, dejó caer el binario de limpiaparabrisas bajo el nombre “sha256sum.exe” en la misma carpeta y lo ejecutó.
“A lo holgado del ataque, los nombres de archivo y las acciones utilizadas tenían la intención de imitar las desplegadas por la consola de la empresa administrativa, lo que indica que los atacantes tenían conocimiento previo de la consola y posiblemente su funcionalidad adentro del entorno de la empresa víctima”, dijo Talos.
Una vez resuelto, PathWiper está diseñado para reunir una serie de medios de almacenamiento conectados, incluidos nombres de la pelotón física, nombres y rutas de convexidad, y rutas de pelotón de red. El limpiaparabrisas luego procede a crear un hilo por pelotón y convexidad para cada ruta registrada y sobrescribe el contenido de los artefactos con bytes generados al azar.
Específicamente, se dirige: Master Boot Record (MBR), $ MFT, $ Mftmirr, $ logFile, $ Boot, $ Bitmap, $ TXFLOG, $ TOPS y $ ATTRDEF. Por otra parte, PathWiper destruye irrevocablemente archivos en el disco sobrescribiendo con bytes aleatorios e intentos de desmontar volúmenes.
Se ha enemigo que Pathwiper comparte cierto nivel de similitud con Hermeticwiper (igualmente conocido como Foxblade, Killdisk o Nearmiss), que se detectó coincidiendo con la invasión marcial a gran escalera de Ucrania en febrero de 2024. El malware Hermeticwiper se atribuye al asociación de azotes de arena vinculado a Rusia.
Si correctamente uno y otro limpiaparabrisas intentan corromper los artefactos relacionados con MBR y NTFS, lleva la observación de que Hermeticwiper y Pathwiper difieren de la modo en que el mecanismo de corrupción de datos se usa contra unidades y volúmenes identificados.
“La desarrollo continua de las variantes de malware de limpiaparabrisas destaca la amenaza continua para la infraestructura crítica ucraniana a pesar de la perdurabilidad de la Pelea de Rusia-Ucrania”, dijeron los investigadores.
El hombre lobo silencioso apunta a Rusia y Moldavia
El descubrimiento de una nueva raza de malware de limpiaparabrisas contra Ucrania se produce cuando la compañía de ciberseguridad rusa Bi.zone descubrió dos nuevas campañas realizadas por Silent Werewolf en marzo de 2025 para infectar a las compañías moldavo y rusa con malware.
“Los atacantes emplearon dos instancias de cargador separadas para recuperar la carga útil maliciosa de su servidor C2”, dijo la compañía. “Desafortunadamente, la carga útil en sí no estaba habitable en el momento de esta investigación. Sin retención, un examen retrospectivo de campañas de hombres lobo silenciosas similares sugiere que el actor de amenaza usó malware XDIGO”.
Algunos de los objetivos de los ataques incluyen sectores nuclear, de aviones, instrumentación e ingeniería mecánica en Rusia. El punto de partida es un correo electrónico de phishing que contiene un archivo adjunto de archivo zip que, a su vez, incluye un archivo LNK y un archivo zip anidado. El segundo archivo zip consiste en un binario cierto, una DLL maliciosa y un PDF señuelo.
Desempacar y exhalar el archivo de entrada directo de Windows desencadena la cuna del archivo anidado y, en última instancia, hace que el Rogue DLL se vaya a reinicio a través del ejecutable cierto (“deviceMetadatawizard.exe”). El DLL es un cargador C# (“d3d9.dll”) que está diseñado para recuperar la carga útil de la próxima etapa de un servidor remoto y mostrar el documento de señora a la víctima.
“Los adversarios parecen ejecutar controles en los sistemas objetivo”, dijo Bi.Zone. “Si un hospedador de Target no cumple con ciertos criterios, el maniquí de estilo noble LLAMA 2 (LLM) en formato GGUF se descarga de hxxps: // huggingface (.) Co/thebloke/llama-2-70b-gguf/resolve/main/llama-2-70b.q5_k_m.gguf”.
“Esto dificulta el examen integral de todo el ataque y permite al actor de amenaza evitar defensas como las cajas de arena”.
La firma de ciberseguridad dijo que observó una segunda campaña ese mismo mes dirigido a sectores desconocidos en Moldavia y, probablemente, Rusia utilizando el mismo cargador C#, pero a través de señuelos de phishing relacionados con los horarios de reposo oficiales y las recomendaciones para proteger la infraestructura de información corporativa contra los ataques de ransomware.
Se cree que el Reunión de Espionaje Cyber, per bi.zone, es activo al menos desde 2011, dirigido a una amplia tono de empresas en Rusia, Bielorrusia, Ucrania, Moldavia y Serbia. Los ataques se caracterizan por el uso de señuelos de phishing para entregar malware como XDSPY, XDIGO y DSDOWNLOGER.
El equipo de Bo del Reunión Hacktivista Pro-Ukriniano se dirige a Rusia
En los últimos meses, igualmente se dice que las empresas y organizaciones estatales rusas que abarcan tecnología, telecomunicaciones y verticales de producción han sido bajo agresiones cibernéticas de un equipo de Bo de Bo del Reunión Hacktivist pro-Uktivist (igualmente conocido como Black Owl, Hoody Hyena y Lifting Zmiy).
“El equipo de Bo es una seria amenaza dirigida tanto a causar daños máximos a la víctima como a extraer beneficios financieros”, dijeron los investigadores de Kaspersky en un referencia la semana pasada, detallando la capacidad del actor de amenaza de boicotear la infraestructura de la víctima y, en algunos casos, incluso recurre a los datos y la perjuicio de datos.
Activo desde al menos en enero de 2024, se sabe que los ataques montados por el clúster hacktivista aprovechan los marcos posteriores a la explotación, incluidos el ataque mítico y el cobalto, así como las herramientas legítimas de entrada remoto y túneles. El asociación igualmente tiene un historial de entrada a datos confidenciales y editar información sobre ataques exitosos en su equipo Bo de Telegram Channel.
El entrada original a las redes de objetivos se logra enviando correos electrónicos de phishing que contienen archivos adjuntos atrapados en tope que, cuando se abren, activan una esclavitud de infección diseñada para desplegar familias de malware de productos básicos como Darkgate, Brockendoor y REMCOS Rat. Además se utilizan herramientas como HandleKatz y Nanodump para descargar LSASS y crear vertederos de LSASS, respectivamente.
Armado con el entrada remoto, se ha observado que el equipo de Bo destruye las copias de seguridad de archivos, elimina los archivos utilizando la utilidad SDELETE y, por otra parte, dejó caer la lectura de Windows del cifrador BABUK para exigir un rescate a cambio de recuperar el entrada.
Algunas de las otras actividades realizadas por el actor de amenaza se enumeran a continuación –
- Configuración de persistencia utilizando tareas programadas
- Asignación de nombres de componentes maliciosos similares al sistema o archivos ejecutables conocidos para sortear la detección
- Procedencia de la pulvínulo de datos de Active Directory utilizando ntdsutil
- Ejecución de varios comandos para resumir información sobre Telegram, Ejecución de procesos, usuarios actuales, sesiones remotas de RDP y software antivirus instalado en los puntos finales
- Uso de protocolos RDP y SSH para realizar un movimiento contiguo adentro de las infraestructuras de Windows e Linux
- Dejar caer un software de entrada remoto cierto como Anydesk para comando y control
“El asociación del equipo BO plantea una amenaza significativa para las organizaciones rusas conveniente a su enfoque no convencional para realizar ataques”, dijo Kaspersky. “A diferencia de la mayoría de los grupos hacktivistas pro-ucranianos, el equipo de Bo utiliza activamente un amplio astillero de malware, incluidas las puertas traseras como Brockendoor, REMCOS y Darkgate”.
“Estas características confirman el parada nivel de autonomía del asociación y la abandono de conexiones estables con otros representantes del clúster hacktivista pro-ucraniano. En la actividad pública del equipo de Bo, prácticamente no hay signos de interacción, coordinación o intercambio de herramientas con otros grupos. Esto una vez más enfatiza su perfil único adentro del paisaje hacktivista coetáneo en el paisaje de hacktivista en el rusia”.
