kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 针对乌克兰的数据擦除攻击盛行!第四个新样本被发现

针对乌克兰的数据擦除攻击盛行!第四个新样本被发现

2022-03-18
来源:互联网安全内参
关键词: 数据擦除

  昨日,欧洲中部的安全厂商ESET发布报告,披露了一款针对乌克兰组织进行数据擦除“破坏式”攻击的恶意软件样本CaddyWiper,已经影响了少量组织;

  这是今年以来公开披露的第四款针对乌克兰的数据擦除恶意软件,前三款分别是WhisperGate(1月中旬)、HermeticWiper(2月23日)、IssacWiper(2月24日),每次数据擦除攻击都伴随着大规模网络攻击或军事行动。

  前情回顾

  地缘政治引爆网络战!乌克兰多个政府系统又遭数据擦除“恐怖”袭击

  俄乌冲突网空态势研判:关基成网攻重点 俄方克制使用高级能力

  3月14日,研究人员再次发现针对乌克兰组织目标的数据破坏恶意软件CaddyWiper,能在受感染网络中跨系统执行数据删除。

  ESET研究实验室解释称,“这种新型恶意软件会删除所连接驱动器内的用户数据与分区信息。”

  “ESET遥测数据显示,目前已经有少量组织的几十个系统中出现该恶意软件的身影。”

  全新恶意样本,

  编译完就被用于攻击

  虽然设计目标是在所部署的Windows域内擦除数据,但CaddyWiper恶意软件会使用DsRoleGetPrimaryDomainInformation()函数来检查目标设备是否属于域控制器。如果是,则不会删除该域控制器上的数据。

  这种设计很可能是攻击者设计的一种策略,即在目标组织的受感染网络内保持访问能力的前提下,不断擦除其他关键设备上的数据以干扰正常运营。

  研究人员在某乌克兰组织的网络中发现了恶意软件样本。他们进行逆向分析时发现,该恶意软件当天刚刚编译完成,就马上被用于发动攻击。

  Caddywiper的编译日期为3月14日

  ESET还表示,“CaddyWiper与此前披露的数据擦除软件HermeticWiper、IssacWIper或者任何其他恶意软件,均没有明显的代码相似性。我们手上的分析样本也没有经过数字签名。”

  “与HermeticWiper的部署方式类似,我们观察到CaddyWiper也是通过GPO部署的,这表明攻击者已经事先控制了目标网络。”

  今年第四次

  针对性数据擦除攻击

  自今年年初以来,针对乌克兰的攻击活动中已经先后出现四种数据擦除恶意软件,除最新成员CaddyWiper外,其他有两种还是ESET研究实验室的分析人员发现,另外一种则被微软发现。

  2月23日,就在俄罗斯军事攻击乌克兰的前一天,ESET研究人员发现一种被命名为HermeticWiper的数据擦除恶意软件。此恶意软件与勒索软件诱饵配合,共同被用于向乌克兰发动攻势。

  2月24日,俄罗斯军事攻击乌克兰当天,ESET研究人员又发现了另一种被命名为IssacWiper的数据擦除程序,以及HermeticWizard新型蠕虫病毒(用于传播HermeticWiper的有效载荷)。

  微软发现的是被命名为WhisperGate的擦除程序。这款恶意软件曾在今年1月中旬被用于向乌克兰发动数据擦除攻击,还将自身伪装成勒索软件。

  微软公司总裁Brad Smith表示,这些针对乌克兰组织发动破坏性攻击的恶意软件“目标精确”。

  此情此景,不禁让人联想到2017年曾对乌克兰等多国造成巨大影响的NotPetya恶意软件。事后归因认为,那场攻击与俄罗斯GRU相关的黑客组织Sandworm有关。

  乌克兰安全局(SSU)在俄乌冲突爆发前表示,这类破坏性攻击属于“大规模混合战争”的组成部分。




微信图片_20220318121103.jpg

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map