文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

俄乌战争网络战中新发现第二个数据擦除器“IsaacWiper”针对乌克兰

2024-12-02 06:00

关注

斯洛伐克网络安全公司 ESET 将这种新的恶意软件称为“ IsaacWiper ”,称该恶意软件于 2 月 24 日在一个不受HermeticWiper(又名 FoxBlade)影响的组织中检测到,这是另一种数据擦除恶意软件,2 月 23 日针对多个组织作为破坏活动的一部分旨在使机器无法使用的操作。

对至少感染 5 个乌克兰组织的 HermeticWiper 攻击的进一步分析揭示了一种蠕虫成分,在受感染的网络中传播恶意软件,以及一个充当“分散擦除器攻击的注意力”的勒索软件模块,证实了赛门铁克先前的报告。

赛门铁克认为这些破坏性攻击至少利用了三个组件:用于擦除数据的 HermeticWiper,用于在本地网络上传播的 HermeticWizard,以及充当诱饵勒索软件的 HermeticRansom。”

在对新的基于 Golang 的勒索软件的单独分析中,将恶意软件代号为“Elections GoRansom”的俄罗斯网络安全公司卡巴斯基将其描述为最后一刻的操作,并补充说“很可能被用作 HermeticWiper 攻击的烟幕,因为它的风格不成熟,执行不力。”

作为一种反取证措施,HermeticWiper 还通过用随机字节覆盖自己的文件来从磁盘中擦除自身,从而阻碍分析。

ESET 表示没有找到“任何切实的联系”来将这些攻击归因于已知的威胁行为者,恶意软件工件暗示入侵已经计划多个月,更不用说目标实体提前遭受攻击的事实到雨刷器的部署。

ESET 威胁研究负责人 Jean-Ian Boutin 说:“这是基于几个事实:HermeticWiper PE 编译时间戳,最早的是 2021 年 12 月 28 日;代码签名证书颁发日期是 2021 年 4 月 13 日;以及在至少一个实例中通过默认域策略部署 HermeticWiper ,这表明攻击者之前可以访问该受害者的一台 Active Directory 服务器”

同样未知的是用于部署两个擦除器的初始访问向量,尽管攻击者怀疑攻击者利用了Impacket和远程访问软件 RemCom 等工具进行横向移动和恶意软件分发。此外,IsaacWiper 与 HermeticWiper 没有代码级重叠,并且没有那么复杂,即使它在着手执行其文件擦除操作之前开始枚举所有物理和逻辑驱动器。

研究人员说:“2022 年 2 月 25 日,攻击者删除了带有调试日志的新版本 IsaacWiper。可能表明攻击者无法擦除一些目标机器并添加日志消息以了解正在发生的事情。”

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯