本文来源: admin
56
|
一款此前未被记录、名为Lotus的数据擦除恶意软件,在去年被用于针对委内瑞拉能源和公用事业组织的定向攻击。 该恶意软件于去年12月中旬从委内瑞拉的一台机器上传至一个公共平台,并已被卡巴斯基的研究人员分析。 在破坏阶段之前,攻击者依赖两个批处理脚本,通过削弱防御和阻碍正常运作为最终载荷准备系统。 研究人员称,Lotus数据擦除恶意软件旨在通过覆盖物理驱动器并消除恢复选项,彻底摧毁受感染系统。 卡巴斯基在今日的一份报告中表示:"该擦除器会移除恢复机制、覆盖物理驱动器内容、系统性地删除受影响卷上的文件,最终使系统处于无法恢复的状态。" 考虑到时间点,观察到的活动与当时该地区的地缘政治紧张局势相吻合,该局势在2026年1月3日委内瑞拉时任总统尼古拉斯·马杜罗被捕时达到顶峰。 2025年12月中旬左右,委内瑞拉国家石油公司遭遇网络攻击,致使其交付系统瘫痪。该公司指责美国应对此事件负责。 需要指出的是,目前没有公开证据表明PDVSA的系统在此次攻击中被擦除,也没有关于此次攻击性质的详细信息。 初步活动 卡巴斯基的报告指出,攻击始于执行一个批处理脚本(OhSyncNow.bat),该脚本会禁用Windows的‘UI0Detect’服务,并执行XML文件检查以协调域内系统的执行。 当满足特定条件时,会执行第二阶段的脚本(notesreg.bat)。它会枚举用户、通过更改密码禁用账户、注销活动会话、禁用所有网络接口并停用缓存的登录信息。 随后,恶意代码会枚举驱动器并运行‘diskpart clean all’命令,用零覆盖它们。卡巴斯基还发现,它使用‘robocopy’覆盖目录内容。 在下一阶段,它会计算可用空间并使用‘fsutil’创建一个填满磁盘的文件,使得被擦除的数据更难恢复。 在为数据销毁准备好环境并自行执行一些擦除操作后,该批处理脚本会解密并执行Lotus擦除器作为最终载荷。 Lotus擦除器的部署 Lotus擦除器在更底层运行,通过IOCTL调用与磁盘交互,检索磁盘几何结构、清除USN日志条目、擦除还原点,并覆盖物理扇区(而不仅仅是逻辑卷)。 该恶意软件执行多项操作,总结如下: 在其令牌中启用所有权限,以获得管理员级别的访问权限。 使用Windows系统还原API删除所有Windows还原点。 通过检索磁盘几何结构并用零覆盖所有扇区来擦除物理驱动器。 清除USN日志以移除文件系统活动的痕迹。 通过将文件内容置零、随机重命名并删除它们(或如果被锁定则安排在重启时删除)来删除文件。 多次重复驱动器擦除和还原点删除的循环。 在最终擦除后,使用IOCTL_DISK_UPDATE_PROPERTIES更新磁盘属性。 卡巴斯基建议,系统管理员应监控NETLOGON共享更改、UI0Detect操作、大规模账户更改以及网络接口禁用等前兆活动。 他们表示,‘diskpart’、‘robocopy’和‘fsutil’的意外使用也是危险信号。 针对擦除器和勒索软件的一般性建议是,保持定期离线备份,并经常验证其可恢复性。 |
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应...
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜...
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案...
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一...
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属...
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针...
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检...
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr...