Buscar
  • atapia73

HermeticWiper: Lo que sabemos sobre el nuevo malware dirigido a la infraestructura ucraniana


A medida que las tensiones geopolíticas continúan aumentando, están surgiendo informes de un nuevo malware de limpiaparabrisas dirigido a la infraestructura ucraniana, como los departamentos gubernamentales. La investigación de Symantec y ESET tuiteó por primera vez sobre la nueva cepa, denominada HermeticWiper, el 23 de febrero. Desde entonces, el malware se ha observado en los países vecinos de Letonia y Lituania. Esto sigue a una serie de ataques cibernéticos distribuidos de denegación de servicio (DDoS) y otras amenazas recientes en la región.


Las infecciones de HermeticWiper observadas hasta ahora parecen seguir un camino familiar: el punto de apoyo inicial logrado por la explotación de servidores externos e identidades comprometidas aprovechadas para moverse lateralmente. Y, como suele ser el caso, el acceso privilegiado parece desempeñar un papel crítico en estos ataques.

Sobre la base del análisis inicial, el equipo ha identificado algunas características específicas del malware:

  • Los ataques son altamente dirigidos: Hasta ahora, los ataques de HermeticWiper han sido muy dirigidos. Específicamente, la distribución del limpiaparabrisas no parece estar aprovechando las vulnerabilidades de la cadena de suministro u otras técnicas de "superpropagador" para escalar los ataques. Esto significa que la infección no se extenderá rápidamente a otras geografías. Sin embargo, el análisis inicial del limpiaparabrisas no revela parámetros de alcance como la configuración del idioma del teclado, la zona horaria del reloj, las IP externas, etc., lo que significa que el malware, o variantes del malware, pueden eventualmente propagarse a otros objetivos en otros países.

  • La implementación requiere derechos de administrador con privilegios: El limpiaparabrisas aprovecha los altos privilegios en el host comprometido para hacer que el host sea "no arrancable" al anular los registros y configuraciones de arranque, borrar las configuraciones del dispositivo y eliminar las instantáneas (copias de seguridad). Tácticas similares se observaron en los ataques de ransomware NotPetya de 2017, que también se dirigieron inicialmente a la infraestructura ucraniana.

  • Active Directory se puede utilizar como launchpad: En un caso reportado, el software del limpiaparabrisas se implementó mediante la directiva de grupo de Active Directory, lo que significa que los actores de amenazas tenían acceso privilegiado a Active Directory. Este escenario se usa más comúnmente en incidentes dirigidos operados por humanos, como el ataque a la cadena de suministro de ransomware Kaseya 2021.

  • El compromiso de identidad es fundamental: Parece que el limpiaparabrisas está configurado para NO cifrar controladores de dominio. Esto permite que el dominio siga ejecutándose, lo que permite que el software del limpiaparabrisas utilice credenciales válidas para autenticarse en los servidores y cifrarlos. Esto pone de relieve el papel fundamental de la identidad en estos ataques. Al robar o abusar de las identidades y credenciales de los empleados o terceros autorizados, los actores de amenazas pueden acceder a la red objetivo y / o moverse lateralmente.

Debido a que HermeticWiper requiere el compromiso de identidades y el abuso de credenciales privilegiadas, los esfuerzos de mitigación de riesgos deben centrarse en los controles de acceso privilegiado de punto final, como la eliminación de los derechos de administrador local y la protección contra el robo de credenciales. Las credenciales altamente privilegiadas, como las de Active Directory y otros activos de nivel 0, deben protegerse para ayudar a prevenir el movimiento lateral y la infección de la red.


Indicadores de compromiso


recursos comprimidos de ms SHA1

  • RCDATA_DRV_X64 a952e288a1ead66490b3275a807f52e5

  • RCDATA_DRV_X86 231b3385ac17e41c5bb1b1fcb59599c4

  • RCDATA_DRV_XP_X64 095a1678021b034903c85dd5acb447ad

  • RCDATA_DRV_XP_X86 eb845b7a16ed82bd248e395d9852f467


HermeticWiper SHA1

  • Win32 EXE 0d8cc992f279ec45e8b8dfd05a700ff1f0437f29

  • Win32 EXE 61b25d11392172e587d8da3045812a66c3385451

  • Win32 EXE 912342f1c840a42f6b74132f8a7c4ffe7d40fb77

  • Win32 EXE 9518e4ae0862ae871cf9fb634b50b07c66a2c379

  • Win32 EXE d9a3596af0463797df4ff25b7999184946e3bfa2

PartyTicket SHA-1

  • Win32 EXE f32d791ec9e6385a91b45942c230f52aff1626df


Reglas de YARA

(https://github.com/SentineLabs/yara/blob/main/APT_ZZ_Unknown_HermeticWiper.yar)

rule MAL_HERMETIC_WIPER {
    meta:
      desc = "Hermetic Wiper - broad hunting rule"
      author = "Hegel @ SentinelLabs"
      version = "1.0"
      last_modified = "02.23.2022"
      hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
      reference = "https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/"
    strings:
        $string1 = "DRV_XP_X64" wide ascii nocase
        $string2 = "EPMNTDRV\\%u" wide ascii nocase
        $string3 = "PhysicalDrive%u" wide ascii nocase
        $cert1 = "Hermetica Digital Ltd" wide ascii nocase
    condition:
      uint16(0) == 0x5A4D and
      all of them
}

rule MAL_PARTY_TICKET {
    meta:
      desc = "PartyTicket Golang Ransomware - associated with HermeticWiper campaign"
      author = "Hegel @ SentinelLabs"
      version = "1.0"
      last_modified = "02.24.2022"
      hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
      reference = "https://twitter.com/juanandres_gs/status/1496930731351805953"
    strings:
        $string1 = "/403forBiden/" wide ascii nocase
        $string2 = "/wHiteHousE/" wide ascii 
        $string3 = "vote_result." wide ascii
        $string4 = "partyTicket." wide ascii
        $buildid1 = "Go build ID: \"qb0H7AdWAYDzfMA1J80B/nJ9FF8fupJl4qnE4WvA5/PWkwEJfKUrRbYN59_Jba/2o0VIyvqINFbLsDsFyL2\"" wide ascii
        $project1 = "C:/projects/403forBiden/wHiteHousE/" wide ascii
    condition:
      uint16(0) == 0x5A4D and
      (2 of ($string*) or 
        any of ($buildid*) or 
        any of ($project*))
}

Fuente: HermeticWiper: Lo que sabemos sobre el nuevo malware dirigido a la infraestructura ucraniana (hasta ahora) (cyberark.com)

| HermeticWiper Nuevo malware destructivo utilizado en ataques cibernéticos en Ucrania - SentinelOne



13 visualizaciones0 comentarios