Una entidad de infraestructura crítica dentro de Ucrania fue atacada por un malware de limpiaparabrisas previamente invisible llamado PathWiper, según nuevos hallazgos de Cisco Talos.
«El ataque se instrumentó a través de un marco de administración de punto final legítimo, lo que indica que los atacantes probablemente tenían acceso a la consola administrativa, que luego se usó para emitir comandos maliciosos y desplegar el revestimiento de ruta en los puntos finales conectados», dijeron los investigadores Jacob Finn, Dmytro Korzhevin, y Asheer Malhotra, dijeron en un análisis publicado el jueves.
Se evalúa que el ataque es el trabajo de un actor de amenaza persistente (APT) avanzada de Rusia-Nexus basado en la artesanía observada y las capacidades superpuestas con el malware destructivo utilizado en los ataques contra Ucrania.
Talos dijo que los comandos emitidos por la consola de la herramienta administrativa fueron recibidos por su cliente que se ejecutaba en los puntos finales de la víctima y luego se ejecutaron como un archivo por lotes (BAT).
El archivo BAT, a su vez, consistió en un comando para ejecutar un archivo de script de Visual Basic malicioso (VBScript) en la carpeta TEMP de Windows llamada «UaCinstall.vbs», que también fue empujado a las máquinas a través de la consola administrativa. El VBScript, por su parte, dejó caer el binario de limpiaparabrisas bajo el nombre «sha256sum.exe» en la misma carpeta y lo ejecutó.
«A lo largo del ataque, los nombres de archivo y las acciones utilizadas tenían la intención de imitar las desplegadas por la consola de la empresa administrativa, lo que indica que los atacantes tenían conocimiento previo de la consola y posiblemente su funcionalidad dentro del entorno de la empresa víctima», dijo Talos.
Una vez lanzado, PathWiper está diseñado para reunir una lista de medios de almacenamiento conectados, incluidos nombres de la unidad física, nombres y rutas de volumen, y rutas de unidad de red. El limpiaparabrisas luego procede a crear un hilo por unidad y volumen para cada ruta registrada y sobrescribe el contenido de los artefactos con bytes generados al azar.
Específicamente, se dirige: Master Boot Record (MBR), $ MFT, $ Mftmirr, $ logFile, $ Boot, $ Bitmap, $ TXFLOG, $ TOPS y $ ATTRDEF. Además, PathWiper destruye irrevocablemente archivos en el disco sobrescribiendo con bytes aleatorios e intentos de desmontar volúmenes.
Se ha encontrado que Pathwiper comparte cierto nivel de similitud con Hermeticwiper (también conocido como Foxblade, Killdisk o Nearmiss), que se detectó coincidiendo con la invasión militar a gran escala de Ucrania en febrero de 2024. El malware Hermeticwiper se atribuye al grupo de azotes de arena vinculado a Rusia.
Si bien ambos limpiaparabrisas intentan corromper los artefactos relacionados con MBR y NTFS, lleva la observación de que Hermeticwiper y Pathwiper difieren de la manera en que el mecanismo de corrupción de datos se usa contra unidades y volúmenes identificados.
«La evolución continua de las variantes de malware de limpiaparabrisas destaca la amenaza continua para la infraestructura crítica ucraniana a pesar de la longevidad de la Guerra de Rusia-Ucrania», dijeron los investigadores.
El hombre lobo silencioso apunta a Rusia y Moldavia
El descubrimiento de una nueva raza de malware de limpiaparabrisas contra Ucrania se produce cuando la compañía rusa de ciberseguridad Bi.zone descubrió dos nuevas campañas realizadas por Silent Werewolf en marzo de 2025 para infectar a las compañías moldavo y rusa con malware.
«Los atacantes emplearon dos instancias de cargador separadas para recuperar la carga útil maliciosa de su servidor C2», dijo la compañía. «Desafortunadamente, la carga útil en sí no estaba disponible en el momento de esta investigación. Sin embargo, un análisis retrospectivo de campañas de hombres lobo silenciosas similares sugiere que el actor de amenaza usó malware XDIGO».
Algunos de los objetivos de los ataques incluyen sectores nuclear, de aviones, instrumentación e ingeniería mecánica en Rusia. El punto de partida es un correo electrónico de phishing que contiene un archivo adjunto de archivo zip que, a su vez, incluye un archivo LNK y un archivo zip anidado. El segundo archivo zip consiste en un binario legítimo, una DLL maliciosa y un PDF señuelo.
Desempacar y lanzar el archivo de acceso directo de Windows desencadena la extracción del archivo anidado y, en última instancia, hace que el Rogue DLL se vaya a reinicio a través del ejecutable legítimo («deviceMetadatawizard.exe»). El DLL es un cargador C# («d3d9.dll») que está diseñado para recuperar la carga útil de la próxima etapa de un servidor remoto y mostrar el documento de señora a la víctima.
«Los adversarios parecen ejecutar controles en los sistemas objetivo», dijo Bi.Zone. «Si un anfitrión de Target no cumple con ciertos criterios, el modelo de lenguaje grande LLAMA 2 (LLM) en formato GGUF se descarga de hxxps: // huggingface (.) Co/thebloke/llama-2-70b-gguf/resolve/main/llama-2-70b.q5_k_m.gguf».
«Esto dificulta el análisis integral de todo el ataque y permite al actor de amenaza evitar defensas como las cajas de arena».
La firma de ciberseguridad dijo que observó una segunda campaña ese mismo mes dirigido a sectores desconocidos en Moldavia y, probablemente, Rusia utilizando el mismo cargador C#, pero a través de señuelos de phishing relacionados con los horarios de vacaciones oficiales y las recomendaciones para proteger la infraestructura de información corporativa contra los ataques de ransomware.
Se cree que el Grupo de Espionaje Cyber, per bi.zone, es activo al menos desde 2011, dirigido a una amplia gama de empresas en Rusia, Bielorrusia, Ucrania, Moldavia y Serbia. Los ataques se caracterizan por el uso de señuelos de phishing para entregar malware como XDSPY, XDIGO y DSDOWNLOGER.
El equipo de Bo del Grupo Hacktivista Pro-Ukriniano se dirige a Rusia
En los últimos meses, también se dice que las empresas y organizaciones estatales rusas que abarcan tecnología, telecomunicaciones y verticales de producción han sido bajo agresiones cibernéticas de un equipo de Bo de Bo del Grupo Hacktivist pro-Uktivist (también conocido como Black Owl, Hoody Hyena y Lifting Zmiy).
«El equipo de Bo es una seria amenaza dirigida tanto a causar daños máximos a la víctima como a extraer beneficios financieros», dijeron los investigadores de Kaspersky en un informe la semana pasada, detallando la capacidad del actor de amenaza de sabotear la infraestructura de la víctima y, en algunos casos, incluso recurre a los datos y la extorsión de datos.
Activo desde al menos en enero de 2024, se sabe que los ataques montados por el clúster hacktivista aprovechan los marcos posteriores a la explotación, incluidos el ataque mítico y el cobalto, así como las herramientas legítimas de acceso remoto y túneles. El grupo también tiene un historial de acceso a datos confidenciales y publicar información sobre ataques exitosos en su equipo Bo de Telegram Channel.
El acceso inicial a las redes de objetivos se logra enviando correos electrónicos de phishing que contienen archivos adjuntos atrapados en tope que, cuando se abren, activan una cadena de infección diseñada para desplegar familias de malware de productos básicos como Darkgate, Brockendoor y REMCOS Rat. También se utilizan herramientas como HandleKatz y Nanodump para descargar LSASS y crear vertederos de LSASS, respectivamente.
Armado con el acceso remoto, se ha observado que el equipo de Bo destruye las copias de seguridad de archivos, elimina los archivos utilizando la utilidad SDELETE y, además, dejó caer la versión de Windows del cifrador BABUK para exigir un rescate a cambio de recuperar el acceso.
Algunas de las otras actividades realizadas por el actor de amenaza se enumeran a continuación –
- Configuración de persistencia utilizando tareas programadas
- Asignación de nombres de componentes maliciosos similares al sistema o archivos ejecutables conocidos para evadir la detección
- Extracción de la base de datos de Active Directory utilizando ntdsutil
- Ejecución de varios comandos para recopilar información sobre Telegram, Ejecución de procesos, usuarios actuales, sesiones remotas de RDP y software antivirus instalado en los puntos finales
- Uso de protocolos RDP y SSH para realizar un movimiento lateral dentro de las infraestructuras de Windows e Linux
- Dejar caer un software de acceso remoto legítimo como Anydesk para comando y control
«El grupo del equipo BO plantea una amenaza significativa para las organizaciones rusas debido a su enfoque no convencional para realizar ataques», dijo Kaspersky. «A diferencia de la mayoría de los grupos hacktivistas pro-ucranianos, el equipo de Bo utiliza activamente un amplio arsenal de malware, incluidas las puertas traseras como Brockendoor, REMCOS y Darkgate».
«Estas características confirman el alto nivel de autonomía del grupo y la ausencia de conexiones estables con otros representantes del clúster hacktivista pro-ucraniano. En la actividad pública del equipo de Bo, prácticamente no hay signos de interacción, coordinación o intercambio de herramientas con otros grupos. Esto una vez más enfatiza su perfil único dentro del paisaje hacktivista actual en el paisaje de hacktivista en el rusia».