Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент MultiLayer Wiper
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
MultiLayer Wiper
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

MultiLayer Wiper

MultiLayer Wiper is wiper malware written in .NET associated with Agrius operations. Observed samples of MultiLayer Wiper have an anomalous, future compilation date suggesting possible metadata manipulation.(Citation: Unit42 Agrius 2023)
ID: S1135
Type: MALWARE
Platforms: Windows
Created: 22 May 2024
Last Modified: 29 Aug 2024

Techniques Used
Domain ID Name Use
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

MultiLayer Wiper uses a batch script launched via a scheduled task to delete Windows Event Logs.(Citation: Unit42 Agrius 2023)
Enterprise T1565 .001 Data Manipulation: Stored Data Manipulation

MultiLayer Wiper changes the original path information of deleted files to make recovery efforts more difficult.(Citation: Unit42 Agrius 2023)
Enterprise T1561 .002 Disk Wipe: Disk Structure Wipe

MultiLayer Wiper opens a handle to \\\\\\\\.\\\\PhysicalDrive0 and wipes the first 512 bytes of data from this location, removing the boot sector.(Citation: Unit42 Agrius 2023)
Enterprise T1562 .001 Impair Defenses: Disable or Modify Tools

MultiLayer Wiper removes the Volume Shadow Copy (VSS) service from infected devices along with all present shadow copies.(Citation: Unit42 Agrius 2023)
Enterprise T1070 .001 Indicator Removal: Clear Windows Event Logs

MultiLayer Wiper removes Windows event logs during execution.(Citation: Unit42 Agrius 2023)
.004 Indicator Removal: File Deletion

MultiLayer Wiper uses a batch file, remover.bat to delete malware artifacts and the batch file itself during execution.(Citation: Unit42 Agrius 2023)

.006 Indicator Removal: Timestomp

MultiLayer Wiper changes timestamps of overwritten files to either 1601.1.1 for NTFS filesystems, or 1980.1.1 for all other filesystems.(Citation: Unit42 Agrius 2023)

Enterprise T1027 .009 Obfuscated Files or Information: Embedded Payloads

MultiLayer Wiper contains two binaries in its resources section, MultiList and MultiWip. MultiLayer Wiper drops and executes each of these items when run, then deletes them after execution.(Citation: Unit42 Agrius 2023)
Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

MultiLayer Wiper creates a malicious scheduled task that launches a batch file to remove Windows Event Logs.(Citation: Unit42 Agrius 2023)

Groups That Use This Software
ID Name References
G1030 Agrius

(Citation: Unit42 Agrius 2023)

References

  1. Or Chechik, Tom Fakterman, Daniel Frank & Assaf Dahan. (2023, November 6). Agonizing Serpens (Aka Agrius) Targeting the Israeli Higher Education and Tech Sectors. Retrieved May 22, 2024.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.