Етап 2: зловмисне програмне забезпечення, яке порушує файли
Stage2.exe — це програма для завантаження шкідливого програмного забезпечення, яке пошкоджує файли. Після виконання stage2.exe завантажує зловмисне програмне забезпечення наступного етапу, розміщене на каналі Discord, із посиланням для завантаження, жорстко закодованим у завантажувачі. Зловмисне програмне забезпечення наступного етапу найкраще можна охарактеризувати як зловмисник, який пошкоджує файли. Після виконання в пам’яті зловмисник знаходить файли в певних каталогах системи з одним із наступних жорстко закодованих розширень файлів:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .РЕЗЕРВНЕ .BAK .BAT .BRD .BZ .BZ2 .CGM .КЛАС .CMD .CONFIG .CPP .CCC . .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GHTM .HDD . .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYID . .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP5 .PHP5 .PHP5 . .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .SRB .RTFAV . .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXWTG . .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLTX .XLSX .XLWXL YML .ZIP
Якщо файл має одне з наведених вище розширень, зловмисник перезаписує вміст файлу фіксованою кількістю байтів 0xCC (загальний розмір файлу 1 МБ). Після перезапису вмісту деструктор перейменовує кожен файл із, здавалося б, випадковим чотирибайтовим розширенням. Аналіз цього шкідливого програмного забезпечення триває.
Рекомендовані дії клієнта
MSTIC і групи безпеки Microsoft працюють над створенням і впровадженням виявлення для цієї діяльності. На сьогоднішній день корпорація Майкрософт впровадила засоби захисту для виявлення цього сімейства шкідливих програм як WhisperGate (наприклад, DoS:Win32/WhisperGate.A!dha) через антивірус Microsoft Defender і Microsoft Defender для кінцевої точки, де б вони не були розгорнуті локально та в хмарному середовищі. Ми продовжуємо розслідування і будемо ділитися значними оновленнями з постраждалими клієнтами, а також партнерами з державного та приватного секторів, щоб отримати додаткову інформацію. Техніки, які використовує актор і описані в цій публікації, можна пом’якшити, дотримуючись міркувань безпеки, наведених нижче:
Використовуйте включені індикатори компрометації, щоб дослідити, чи існують вони у вашому оточенні, і оцінити можливість вторгнення.
Перегляньте всю активність автентифікації для інфраструктури віддаленого доступу, зосередившись на облікових записах, налаштованих з однофакторною автентифікацією, щоб підтвердити автентичність та дослідити будь-які аномальні дії.
Увімкніть багатофакторну автентифікацію (MFA), щоб пом’якшити потенційно скомпрометовані облікові дані та переконатися, що MFA застосовується для всіх віддалених з’єднань. ПРИМІТКА. Корпорація Майкрософт наполегливо рекомендує всім клієнтам завантажувати та використовувати безпарольні рішення, як-от Microsoft Authenticator , для захисту облікових записів.
Увімкніть контрольований доступ до папки (CFA) у Microsoft Defender для кінцевої точки, щоб запобігти зміні MBR/VBR.
