حملات سایبری مکمل حملات نظامی به اوکراین


در 23 فوریه همزمان با شروع حملات نظامی به اوکراین، حملات بدافزارها در سازمانهای دولتی اوکراین مشاهده شد. این بد افزارها شروع به حذف و از بین بردن اطلاعات این سازمانها می کردند.

تجزیه و تحلیلها نشان می‌دهد که از یک درایور امضا شده برای استقرار این بد افزار یا ویروس (wiper) استفاده شده است.این ویروس دستگاه‌های ویندوز را هدف قرار می‌دهد و MBR را دستکاری می‌کند که منجر به خرابی بوت می‌شود.

این مطلب شامل جزئیات فنی این بدافزار پاک کننده، با نام HermeticWiper هست و شامل IOC هایی است که به سازمان ها اجازه می دهد در برابر این حملات از خود محافظت کنند.

به نقل از لابراتوآر شرکت Sentinelone شرکتها و سازمانهایی که از محصولات این شرکت استفاده می کنند به صورت مناسبی در برابر این حملات محافظت می شوند و اطلاعات بیشتر به زودی برای آگاهی مدیران IT عمومی سازی می شود.

در 23 فوریه2022، شرکتهای معروف آنتی ویروس Symantec و ESET هش های مرتبط با یک حمله پاک کننده و از بین برنده اطلاعات (wiper) در اوکراین را توییت کردند، اطلاعات زیادی تا زمان نگارش این مطلب از سوی این دو غول بزرگ به صورت عمومی منتشر نشده است.

تجزیه و تحلیل این بدافزار جدید wiper malware شروع شد و نام آن را با توجه به گواهی دیجیتالی آن و امضای استفاده شده در آن  «HermeticWiper» نامگذاری کردیم.

گواهی دیجیتال با نام شرکت «Hermetica Digital Ltd» صادر شده و از آوریل 2021 معتبر است. تا زمان نگارش این مطلب، هیچ فایل قانونی معتبری با این گواهی را در مورد این شرکت پیدا نشده است. این احتمال وجود دارد که مهاجمان از یک شرکت سوری یا منحل شده  برای صدور این گواهی دیجیتال استفاده کرده باشند.

HermeticWiper Digital Signature

سایت شرکت SentinelOne اینگونه می نوبیسد که :
این یک تلاش اولیه برای تجزیه و تحلیل اولین نمونه موجود از HermeticWiper است. پیش بینی می شود که وضعیت در اوکراین به سرعت در حال تغییر است و امیدواریم که بتوانیم سهم کوچک خود را در تلاش های تحلیل جمعی ایفا کنیم.

 

آموزشهای آنلاین – آفلاین و حضوری، سازمانی و فردی در IIHTIRAN . شما می توانید با آموزشهای بین المللی شرکت IIHT علاوه بر اینکه از آموزشهای روز دنیا استفاده می نمایید. از سرویس ها و مدارک بین المللی شرکت IIHT نیز بهرمند می شوید.

Security Programs

تحلیل فنی (Technical Analysis):

در نگاه اول به نظر می رسد HermeticWiper یک برنامه سفارشی با عملکردهای استاندارد بسیار کمی است.

حجم نمونه بدافزار 114 کیلوبایت است و کاملا یک malware سبک است.

سازنده از یک تکنیک آزمایش شده بدافزار های WIPER استفاده نموده که از partition management سوء استفاده کرده تا آسیب حملات خود را به شدت افزایش دهد. این بدافزار یا ویروس به فایلهای سیستمی windows دسترسی پیداکرده و حملات خود را انجام میدهد. ( empntdrv.sys.)

HermeticWiper resources containing EaseUS Partition Manager drivers

بدافزار HermeticWiper از طریق ار بین بردن MBR و Partition های سیستم قربانی نیز عمل می کند.

خلاصه اینکه: پس از یک هفته تخریب و افزایش حملات DDoS، خسارت گسترده این خرابکاری تاسف بارو دور از انتظار از طریق این بدافزار Delete کننده (wiper malware). هم اکنون، ما شاهد حملات مشابهی در همسایگان اکراین و متحدان این کشور هستیم. در حال حاضر شرکتها و محققینی از Symantec، ESET، Stairwell و RedCanary در حال کار و بررسی روی این malware هستند.

 

راه حل (Solutions):
شما می توانید برای مبارزه و پیشگری از هدف قرارگرفتن سازمان خود از آموزشهای شرکت IIHT Iran استفاده کنید. این شرکت بین المللی در قالب آموزش آنلابن (LMS) و TECHADEMY به صورت آفلاین  آموزشهای بی نظیر بین المللی را با اساتید بین المللی خارجی (هندی، انگلیسی، آلمانی و روس)  به شما ارائه خواهد کرد برای دریافت راهنمایی و مشاوره در این زمینه از طریق whatsapp یا تماس با شماره های 22770913-021 یا 09903344480 اقدام نمایید.

Firewall & UTMServerVirtualizationWindows Serverاخبار

antivirusattackCyber AttacksCyberAttacksCyberSecurityDDoSEaseUSESEThelpdeskHermetica Digital LtdHermeticWiperiihtiihtiranMalwareMBR and Partition CorruptionnewMalwareRedCanarySentinelSentinelLABsentinelOneStairwellSymantecUkraineviruswin10win11win7win8win8.1windows attacksWiper

امکان ارسال دیدگاه وجود ندارد!