【弱點說明】
事件通告:駭客已對烏克蘭的各大機構部署了破壞性的惡意程式,建議請管理者儘速評估確認!
【細節描述】
簡介
在俄羅斯對烏克蘭發動攻擊之前,駭客已對烏克蘭的各大機構部署了破壞性的惡意程式,用以破壞對方電腦系統使其無法運作。
2022 年 1 月 15 日,微軟威脅情報中心 (MSTIC) 披露,名為 WhisperGate的惡意程式正被用於攻擊烏克蘭的各大機構。根據微軟的說法,WhisperGate 旨在破壞,使目標設備無法運作。 2022 年 2 月 23日,幾位網路安全研究人員披露,被稱為HermeticWiper的惡意程式正被用於攻擊烏克蘭的各大機構。據研究員SentinelLabs稱,該惡意程式以 Windows 設備為目標,修改主機開機記錄,從而導致後續開機失敗。
惡意程式可能對烏克蘭各大機構的日常運營造成直接威脅。並且針對烏克蘭各大機構的進一步破壞性網路的攻擊隨時有可能發生,且有機會蔓延到其他國家的各大機構。用戶應提高警惕並評估其能力,包括對此類事件的規劃、準備、檢測和響應。 網路安全暨基礎設施安全局 (CISA) 及聯邦調查局 (FBI)一起的聯合網路安全諮詢提供有關 WhisperGate 和 HermeticWiper 惡意程式的信息以及公開的 indicators of compromise(IOC),供組織檢測和預防惡意程式。此外,該聯合聯合網路安全諮詢為組織提供了建議的指導和注意事項,以作為網路架構、安全基線、持續監控和事件響應方式來解決,報告詳細資訊資訊可參考以下PDF(https://www.cisa.gov/uscert/sites/default/files/publications/AA22-057A_Destructive_Malware_Targeting_Organizations_in_Ukraine.pdf)技術細節駭客已針對烏克蘭的組織部署了破壞性的惡意程式,包括 WhisperGate 和HermeticWiper,以破壞電腦系統並使其無法運行。下面列出了使用惡意程式的活動的想系摘要。CISA建議組織查看下面列出的資源以進行更深入的分析,並查看緩解部分以了解處理破壞性惡意程式的最佳方式。 2022 年 1 月 15日,微軟宣布發現針對烏克蘭多個組織的複雜惡意程式操作。這種名為 WhisperGate的惡意程式有兩個階段,它們會破壞系統的開機記錄,顯示虛假的勒索程式並加密文件,雖然在攻擊過程中會顯示勒索程式消息,但微軟強調目標數據已被破壞,即使支付贖金也無法恢復。
WhisperGate 第一階段檔hash:
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
第二階段檔hash:
dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
中華資安國際已針對SOC客戶進行情資回溯分析,並無發現有客戶受該情資影響
【建議措施】
建議用戶參考uscert網頁中建議措施進行處理。 |