《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 針對(duì)烏克蘭的數(shù)據(jù)擦除攻擊盛行!第四個(gè)新樣本被發(fā)現(xiàn)

針對(duì)烏克蘭的數(shù)據(jù)擦除攻擊盛行!第四個(gè)新樣本被發(fā)現(xiàn)

2022-03-18
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 數(shù)據(jù)擦除

  昨日,歐洲中部的安全廠商ESET發(fā)布報(bào)告,披露了一款針對(duì)烏克蘭組織進(jìn)行數(shù)據(jù)擦除“破壞式”攻擊的惡意軟件樣本CaddyWiper,已經(jīng)影響了少量組織;

  這是今年以來公開披露的第四款針對(duì)烏克蘭的數(shù)據(jù)擦除惡意軟件,前三款分別是WhisperGate(1月中旬)、HermeticWiper(2月23日)、IssacWiper(2月24日),每次數(shù)據(jù)擦除攻擊都伴隨著大規(guī)模網(wǎng)絡(luò)攻擊或軍事行動(dòng)。

  前情回顧

  地緣政治引爆網(wǎng)絡(luò)戰(zhàn)!烏克蘭多個(gè)政府系統(tǒng)又遭數(shù)據(jù)擦除“恐怖”襲擊

  俄烏沖突網(wǎng)空態(tài)勢(shì)研判:關(guān)基成網(wǎng)攻重點(diǎn) 俄方克制使用高級(jí)能力

  3月14日,研究人員再次發(fā)現(xiàn)針對(duì)烏克蘭組織目標(biāo)的數(shù)據(jù)破壞惡意軟件CaddyWiper,能在受感染網(wǎng)絡(luò)中跨系統(tǒng)執(zhí)行數(shù)據(jù)刪除。

  ESET研究實(shí)驗(yàn)室解釋稱,“這種新型惡意軟件會(huì)刪除所連接驅(qū)動(dòng)器內(nèi)的用戶數(shù)據(jù)與分區(qū)信息?!?/p>

  “ESET遙測(cè)數(shù)據(jù)顯示,目前已經(jīng)有少量組織的幾十個(gè)系統(tǒng)中出現(xiàn)該惡意軟件的身影?!?/p>

  全新惡意樣本,

  編譯完就被用于攻擊

  雖然設(shè)計(jì)目標(biāo)是在所部署的Windows域內(nèi)擦除數(shù)據(jù),但CaddyWiper惡意軟件會(huì)使用DsRoleGetPrimaryDomainInformation()函數(shù)來檢查目標(biāo)設(shè)備是否屬于域控制器。如果是,則不會(huì)刪除該域控制器上的數(shù)據(jù)。

  這種設(shè)計(jì)很可能是攻擊者設(shè)計(jì)的一種策略,即在目標(biāo)組織的受感染網(wǎng)絡(luò)內(nèi)保持訪問能力的前提下,不斷擦除其他關(guān)鍵設(shè)備上的數(shù)據(jù)以干擾正常運(yùn)營(yíng)。

  研究人員在某烏克蘭組織的網(wǎng)絡(luò)中發(fā)現(xiàn)了惡意軟件樣本。他們進(jìn)行逆向分析時(shí)發(fā)現(xiàn),該惡意軟件當(dāng)天剛剛編譯完成,就馬上被用于發(fā)動(dòng)攻擊。

  Caddywiper的編譯日期為3月14日

  ESET還表示,“CaddyWiper與此前披露的數(shù)據(jù)擦除軟件HermeticWiper、IssacWIper或者任何其他惡意軟件,均沒有明顯的代碼相似性。我們手上的分析樣本也沒有經(jīng)過數(shù)字簽名?!?/p>

  “與HermeticWiper的部署方式類似,我們觀察到CaddyWiper也是通過GPO部署的,這表明攻擊者已經(jīng)事先控制了目標(biāo)網(wǎng)絡(luò)?!?/p>

  今年第四次

  針對(duì)性數(shù)據(jù)擦除攻擊

  自今年年初以來,針對(duì)烏克蘭的攻擊活動(dòng)中已經(jīng)先后出現(xiàn)四種數(shù)據(jù)擦除惡意軟件,除最新成員CaddyWiper外,其他有兩種還是ESET研究實(shí)驗(yàn)室的分析人員發(fā)現(xiàn),另外一種則被微軟發(fā)現(xiàn)。

  2月23日,就在俄羅斯軍事攻擊烏克蘭的前一天,ESET研究人員發(fā)現(xiàn)一種被命名為HermeticWiper的數(shù)據(jù)擦除惡意軟件。此惡意軟件與勒索軟件誘餌配合,共同被用于向?yàn)蹩颂m發(fā)動(dòng)攻勢(shì)。

  2月24日,俄羅斯軍事攻擊烏克蘭當(dāng)天,ESET研究人員又發(fā)現(xiàn)了另一種被命名為IssacWiper的數(shù)據(jù)擦除程序,以及HermeticWizard新型蠕蟲病毒(用于傳播HermeticWiper的有效載荷)。

  微軟發(fā)現(xiàn)的是被命名為WhisperGate的擦除程序。這款惡意軟件曾在今年1月中旬被用于向?yàn)蹩颂m發(fā)動(dòng)數(shù)據(jù)擦除攻擊,還將自身偽裝成勒索軟件。

  微軟公司總裁Brad Smith表示,這些針對(duì)烏克蘭組織發(fā)動(dòng)破壞性攻擊的惡意軟件“目標(biāo)精確”。

  此情此景,不禁讓人聯(lián)想到2017年曾對(duì)烏克蘭等多國(guó)造成巨大影響的NotPetya惡意軟件。事后歸因認(rèn)為,那場(chǎng)攻擊與俄羅斯GRU相關(guān)的黑客組織Sandworm有關(guān)。

  烏克蘭安全局(SSU)在俄烏沖突爆發(fā)前表示,這類破壞性攻擊屬于“大規(guī)模混合戰(zhàn)爭(zhēng)”的組成部分。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。