在俄羅斯開(kāi)始軍事入侵之前，破壞性網(wǎng)絡(luò)攻擊襲擊了烏克蘭多個(gè)實(shí)體，已觀察到針對(duì)未具名的烏克蘭政府網(wǎng)絡(luò)部署了一種新的數(shù)據(jù)擦除惡意軟件。

斯洛伐克網(wǎng)絡(luò)安全公司 ESET 將這種新的惡意軟件稱為“ IsaacWiper ”，稱該惡意軟件于 2 月 24 日在一個(gè)不受HermeticWiper(又名 FoxBlade)影響的組織中檢測(cè)到，這是另一種數(shù)據(jù)擦除惡意軟件，2 月 23 日針對(duì)多個(gè)組織作為破壞活動(dòng)的一部分旨在使機(jī)器無(wú)法使用的操作。

對(duì)至少感染 5 個(gè)烏克蘭組織的 HermeticWiper 攻擊的進(jìn)一步分析揭示了一種蠕蟲(chóng)成分，在受感染的網(wǎng)絡(luò)中傳播惡意軟件，以及一個(gè)充當(dāng)“分散擦除器攻擊的注意力”的勒索軟件模塊，證實(shí)了賽門鐵克先前的報(bào)告。

賽門鐵克認(rèn)為這些破壞性攻擊至少利用了三個(gè)組件：用于擦除數(shù)據(jù)的 HermeticWiper，用于在本地網(wǎng)絡(luò)上傳播的 HermeticWizard，以及充當(dāng)誘餌勒索軟件的 HermeticRansom?！?

在對(duì)新的基于 Golang 的勒索軟件的單獨(dú)分析中，將惡意軟件代號(hào)為“Elections GoRansom”的俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基將其描述為最后一刻的操作，并補(bǔ)充說(shuō)“很可能被用作 HermeticWiper 攻擊的煙幕，因?yàn)樗娘L(fēng)格不成熟，執(zhí)行不力。”

作為一種反取證措施，HermeticWiper 還通過(guò)用隨機(jī)字節(jié)覆蓋自己的文件來(lái)從磁盤中擦除自身，從而阻礙分析。

ESET 表示沒(méi)有找到“任何切實(shí)的聯(lián)系”來(lái)將這些攻擊歸因于已知的威脅行為者，惡意軟件工件暗示入侵已經(jīng)計(jì)劃多個(gè)月，更不用說(shuō)目標(biāo)實(shí)體提前遭受攻擊的事實(shí)到雨刷器的部署。

ESET 威脅研究負(fù)責(zé)人 Jean-Ian Boutin 說(shuō)：“這是基于幾個(gè)事實(shí)：HermeticWiper PE 編譯時(shí)間戳，最早的是 2021 年 12 月 28 日;代碼簽名證書頒發(fā)日期是 2021 年 4 月 13 日;以及在至少一個(gè)實(shí)例中通過(guò)默認(rèn)域策略部署 HermeticWiper ，這表明攻擊者之前可以訪問(wèn)該受害者的一臺(tái) Active Directory 服務(wù)器”

同樣未知的是用于部署兩個(gè)擦除器的初始訪問(wèn)向量，盡管攻擊者懷疑攻擊者利用了Impacket和遠(yuǎn)程訪問(wèn)軟件 RemCom 等工具進(jìn)行橫向移動(dòng)和惡意軟件分發(fā)。此外，IsaacWiper 與 HermeticWiper 沒(méi)有代碼級(jí)重疊，并且沒(méi)有那么復(fù)雜，即使它在著手執(zhí)行其文件擦除操作之前開(kāi)始枚舉所有物理和邏輯驅(qū)動(dòng)器。

研究人員說(shuō)：“2022 年 2 月 25 日，攻擊者刪除了帶有調(diào)試日志的新版本 IsaacWiper?？赡鼙砻鞴粽邿o(wú)法擦除一些目標(biāo)機(jī)器并添加日志消息以了解正在發(fā)生的事情?！?/p>