freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络战在持续:与俄罗斯有关的 Sandworm APT 用刮水器瞄准乌克兰的能源设施
2022-04-13 17:23:42
所属地 上海

与俄罗斯有关联的 Sandworm APT 小组使用 INDUSTROYER2 和CADDYWIPER雨刷器瞄准了乌克兰的能源设施。

与俄罗斯有关的Sandworm威胁行动者使用新的Industroyer  ICS 恶意软件 (INDUSTROYER2) 和新版本的CaddyWiper Wiper 攻击乌克兰的能源设施。

根据 CERT-UA 的说法,民族国家行为者使用 INDUSTROYER2 将高压变电站作为目标,研究人员分析的变体针对各自的变电站进行了定制。

攻击者还使用 CADDYWIPER 擦除器来攻击基于 Windows 的系统,同时攻击运行具有 ORCSHRED、SOLOSHRED、AWFULSHRED 破坏性脚本的 Linux 操作系统的服务器设备。

根据乌克兰 CERT 发布的公告,CADDYWIPER 的集中分发和发布是通过组策略机制 (GPO) 实现的。POWERGAP PowerShell 脚本用于添加从域控制器下载文件析构函数组件并在计算机上创建计划任务的组策略。通过创建 SSH 隧道链提供了在局域网段之间水平移动的能力,IMPACKET 用于远程执行命令。

CERT-UA 指出,APT 组织至少对能源设施发动了两波攻击。最初的妥协发生在 2022 年 2 月之前。有趣的是,变电站的断开和公司基础设施的退役计划于 2022 年 4 月 8 日星期五晚上进行。

好消息是,政府专家在网络安全公司 ESET 和微软的帮助下检测并消除了这些攻击。CERT-UA 收集了这些攻击的危害指标,并与有限数量的国际合作伙伴和乌克兰能源公司分享了这些指标以及 Yara 规则。

帮助乌克兰政府的安全公司 ESET 发布了一份关于 Industroyer2 雨刷器的详细报告,该雨刷器用于针对一家乌克兰能源公司。

研究人员证实,攻击计划于 2022 年 4 月 8 日进行,但人工制品表明攻击已计划至少两周。

在ESET的报道中写到,我们高度自信地评估,攻击者使用了新版本的 Industroyer 恶意软件,该恶意软件于 2016 年用于切断乌克兰的电力供应,APT 组织 Sandworm 应对这次新攻击负责。

# 黑客 # 数据安全 # 内网渗透 # 漏洞分析 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录