Cisco Talos研究人员发现一起针对乌克兰关键基础设施的网络攻击事件,使用名为PathWiper的新擦除工具。攻击者通过合法端点管理框架获取管理员权限并分发恶意软件。PathWiper伪装成管理控制台操作,并通过批处理文件和VBScript安装恶意载荷。该工具覆盖文件系统数据并尝试卸载存储卷以增加破坏性。PathWiper与2022年的HermeticWiper相似但机制不同,目前尚不清楚是否为同一组织所为。 2025-6-5 14:0:37 Author: www.securityinfo.it(查看原文) 阅读量:9 收藏
Giu 05, 2025 Attacchi, In evidenza, Malware, News, RSS
I ricercatori di Cisco Talos hanno individuato una campagna ai danni delle infrastrutture critiche ucraine che utilizza PathWiper, un nuovo wiper di origine russa.
L’attacco è stato portato avanti sfruttando un framework di gestione di endpoint legittimo: gli attaccanti hanno evidentemente ottenuto accesso alla console di admin e l’hanno usata per distribuire il wiper sugli endpoint connessi. “Durante l’attacco, i nomi dei file e le azioni utilizzate puntavano a imitare quelli impiegati dalla console amministrativa di utility, indicazione del fatto che gli aggressori avevano una conoscenza preliminare della console e forse anche delle sue funzionalità usate nell’ambiente aziendale della vittima” spiegano i ricercatori.
Nel dettaglio, gli attaccanti hanno inviato un comando creato ad hoc in modo che venisse eseguito dal client come un file batch (BAT). Il file eseguiva a sua volta un file VBScript malevolo, uacinstall.vbs, che installava ed eseguiva sha256sum.exe, il payload di PathWiper.
Una volta eseguito, il wiper sovrascrive i contenuti degli artefatti del file system con dati randomici generati sul momento. PathWiper si occupa inoltre di stilare una lista di tutti i supporti di archiviazione, volumi e path del client; in seguito, crea un thread per ogni elemento e, nuovamente, rimpiazza gli artefatti con dati casuali. Prima della sovrascrittura, il wiper tenta di effettuare il dismount dei volumi.
Stando a quanto riportato da Cisco Talos, PathWiper è semanticamente simile a HermeticWiper (noto anche come FoxBlade e NEARMISS), un wiper russo attivo nel 2022 e attribuito al gruppo Sandworm. Entrambi i wiper, inoltre, cercando di corrompere il master boot record (MBR) e gli artefatti legati a NTFS.
Nonostante le somiglianze, i due malware presentano una differenza significativa nel meccanismo di corruzione utilizzato. Non è chiaro quindi se il nuovo wiper sia una versione aggiornata del precedente o se dietro ci sia un altro gruppo hacker legato alla Russia.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh