fbpx

Наши представительства: 

Заказать обратный звонок
btn

Технический анализ вредоносного загрузчика WhisperGate, нацеленного на украинские организации

Новость

15 января стало известно, что против ряда украинских организаций был развернут набор вредоносных программ, получивший название WhisperGate. По многочисленным данным, инцидент вызван тремя отдельными компонентами, развернутыми одним и тем же злоумышленником, включая вредоносный загрузчик, повреждающий обнаруженные локальные диски, Discord-загрузчик и и File Wiper.

Активность произошла примерно в то же время, когда несколько веб-сайтов, принадлежащих правительству Украины, были атакованы.

Рассмотрим этот вредоносный загрузчик более детально.


Детали


Компонент установщика для загрузчика имеет следующий хэш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

и содержит временную метку сборки 2022-01-10 10:37:18 UTC. Он был собран с помощью MinGW, аналогичного компоненту file-wiper. Этот компонент перезаписывает главную загрузочную запись (MBR) зараженного хоста вредоносным 16-битным загрузчиком с хэшем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

который при загрузке хоста отображает уведомление о выкупе (рис. 1) и одновременно выполняет деструктивные операции на жестких дисках зараженного хоста.


Рис. 1: Поддельное сообщение о выкупе


Операция деструктивного удаление данных имеет следующий псевдокод:


Периодически загрузчик перезаписывает сектора всего жесткого диска зараженного хоста с сообщением, похожим на записку о выкупе, снабженную дополнительными байтами (Рисунок 2).


Рис. 2: Шестнадцатеричный дамп шаблона, записанного на диски зараженного хоста


Данные состоят из строки AAAAA, индекса зараженного диска, записки о выкупе и магического значения 55 AA в колонтитуле MBR, за которым следуют два нулевых байта.

Загрузчик получает доступ к диску через прерывание BIOS 13h в режиме логической адресации блоков (LBA) и перезаписывает каждый 199-й сектор, пока не будет достигнут конец диска. После его повреждения вредоносная программа перезаписывает следующий диск из списка обнаруженных.

Этот процесс не отличается сложностью, но напоминает более продвинутую реализацию вредоносного MBR вируса NotPetya, который маскировался под легитимную утилиту восстановления диска chkdsk, а на самом деле повреждал файловую систему зараженного узла.

Программа установки загрузчика не инициирует перезагрузку зараженной системы, как это наблюдалось в прошлых вторжениях, таких как BadRabbit и NotPetya. Отсутствие принудительной перезагрузки позволяет предположить, что атакующий предпринял другие шаги для ее инициирования (например, с помощью другого implant-a) или решил позволить пользователям выполнить перезагрузку самостоятельно. Отложенная перезагрузка может позволить запустить другие компоненты вторжения WhisperGate (например, File Wiper).


Оценка


Вредоносная программа-загрузчик WhisperGate дополняет своего "напарника" File Wiper. Обе программы направлены на безвозвратное повреждение данных зараженных узлов, и пытаются маскироваться под современные операции вымогателей. Однако загрузчик WhisperGate не имеет в себе механизма расшифровки или восстановления данных, а также отличается от вредоносных ПО, обычно используемым в действиях ransomware.

Отображаемое сообщение предполагает, что жертвы могут рассчитывать на восстановление своих данных, но это технически невозможно. Эти несоответствия с большой вероятностью указывают на то, что деятельность WhisperGate направлена на уничтожение данных на пораженных ресурсах. Хотя эта оценка сделана с долей предположения, поскольку технический анализ WhisperGate все еще продолжается.

Эта активность напоминает разрушительную вредоносную программу NotPetya от VOODOO BEAR, которая включала компонент, выдававший себя за легитимную утилиту chkdsk и повреждавший Master File Table (MFT) зараженного узла — критически важный компонент файловой системы NTFS от Microsoft. Однако загрузчик WhisperGate менее сложен, и в настоящее время в нем не удалось выявить технического совпадения с операциями VOODOO BEAR.


Актуальные разведанные о WhisperGate, представленные командой CrowdStrike, являются информацией, основанной на высококачественных данных из нескольких источников. И хотя высокая степень уверенности в качестве исходной информации не означает, что эта оценка является неоспоримым суждением, киберразведка CrowdStrike способна дать понимание мотивов, целей и планов злоумышленника. Именно это позволяет принимать более быстрые и обоснованные решения в сфере безопасности и менять свое реактивное поведение на проактивное.

Узнать больше о решениях от CrowdStrike.


iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам от CrowdStrike, запросив пробную версию на нашем сайте.

Назад

Mobile Marketing
+