Lotus वाइपर

साइबरसुरक्षा विश्लेषकहरूले पहिले कागजात नगरिएको डाटा-वाइप गर्ने मालवेयर, जसलाई अहिले लोटस वाइपर भनिन्छ, पहिचान गरेका छन्, जुन २०२५ को अन्त्य र २०२६ को सुरुवातको बीचमा भेनेजुएलाको ऊर्जा र उपयोगिता क्षेत्र विरुद्ध लक्षित आक्रमणहरूमा प्रयोग गरिएको थियो। यो मालवेयर अधिकतम विनाशको लागि डिजाइन गरिएको हो, जसले संक्रमित प्रणालीहरूलाई पूर्ण रूपमा निष्क्रिय बनाउँछ।

समन्वित आक्रमण कार्यान्वयन: बहु-चरणीय तैनाती

यो आक्रमण दुई ब्याच स्क्रिप्टहरूमा निर्भर गर्दछ जसले सावधानीपूर्वक चरणबद्ध अपरेशनलाई व्यवस्थित गर्दछ। यी स्क्रिप्टहरूले नेटवर्कभरि गतिविधिहरू समक्रमण गर्छन्, प्रणाली प्रतिरक्षालाई कमजोर बनाउँछन्, र अन्तिम पेलोड सुरु गर्नु अघि सामान्य अपरेशनहरूमा बाधा पुर्‍याउँछन्। तिनीहरूको भूमिकामा वाइपर कम्पोनेन्ट पुन: प्राप्त गर्ने, डिअबफस्केट गर्ने र कार्यान्वयन गर्ने, विनाशकारी चरणमा निर्बाध संक्रमण सुनिश्चित गर्ने समावेश छ।

व्यवस्थित विनाश: लोटस वाइपरले कसरी काम गर्छ

एकपटक सक्रिय भएपछि, लोटस वाइपरले एक व्यापक डेटा उन्मूलन प्रक्रिया कार्यान्वयन गर्दछ जसले प्रणाली कार्यक्षमता र रिकभरी विकल्पहरू दुवैलाई हटाउँछ। यसको विनाशकारी क्षमताहरूमा समावेश छन्:

• पुनर्स्थापना बिन्दुहरू सहित पुनर्प्राप्ति संयन्त्रहरू हटाउने
• शून्य डेटाको साथ भौतिक ड्राइभ क्षेत्रहरू अधिलेखन गर्दै
• सबै माउन्ट गरिएका भोल्युमहरूमा फाइलहरू मेटाउने
• भोल्युम जर्नलहरूमा अपडेट अनुक्रम संख्याहरू (USN) को क्लियरिङ

यी कार्यहरूले सामूहिक रूपमा सुनिश्चित गर्छन् कि प्रभावित प्रणालीहरूलाई परम्परागत माध्यमबाट पुनर्स्थापित वा पुनर्निर्माण गर्न सकिँदैन।

आशयका सूचकहरू: आर्थिक रूपमा प्रेरित छैन

ransomware भन्दा फरक, Lotus Wiper मा कुनै जबरजस्ती सन्देश वा भुक्तानी निर्देशनहरू छैनन्। यो अनुपस्थितिले दृढतापूर्वक सुझाव दिन्छ कि अभियान वित्तीय उद्देश्यहरू द्वारा संचालित होइन तर तोडफोड वा भूराजनीतिक उद्देश्यहरू द्वारा संचालित छ। उल्लेखनीय रूपमा, मालवेयर नमूना जनवरी २०२६ मा अमेरिकी सैन्य गतिविधिको केही समय अघि, डिसेम्बर २०२५ को मध्यमा भेनेजुएलाको प्रणालीबाट सार्वजनिक रूपमा अपलोड गरिएको थियो। यद्यपि कुनै प्रत्यक्ष लिङ्क पुष्टि गरिएको छैन, समय उही क्षेत्रलाई लक्षित साइबर गतिविधिको बढ्दो रिपोर्टहरूसँग मेल खान्छ, जसले अत्यधिक केन्द्रित अपरेशनलाई संकेत गर्दछ।

लिगेसी प्रणालीहरूलाई लक्षित गर्दै: पुरानो वातावरणको शोषण गर्दै

आक्रमण श्रृंखला ब्याच स्क्रिप्टबाट सुरु हुन्छ जसले बहु-चरण प्रक्रिया सुरु गर्दछ। यसको प्रारम्भिक कार्यहरू मध्ये एक विन्डोज अन्तरक्रियात्मक सेवा पत्ता लगाउने (UI0Detect) सेवालाई असक्षम पार्ने प्रयास गर्नु हो। विन्डोज १० संस्करण १८०३ पछि आधुनिक विन्डोज संस्करणहरूमा हटाइएको यो सेवाले मालवेयर विशेष रूपमा पुरानो अपरेटिङ सिस्टमहरूलाई लक्षित गर्न डिजाइन गरिएको हो भन्ने संकेत गर्छ।

स्क्रिप्टले NETLOGON सेयरको उपस्थितिको लागि पनि जाँच गर्छ र रिमोट XML फाइल पुन: प्राप्त गर्छ। यसले यो फाइललाई C:\lotus वा %SystemDrive%\lotus जस्ता डाइरेक्टरीहरूमा स्थानीय रूपमा भण्डारण गरिएको संस्करणसँग तुलना गर्छ। यो व्यवहारले सम्भवतः प्रणाली सक्रिय निर्देशिका डोमेनको भाग हो कि होइन भनेर निर्धारण गर्छ। यदि रिमोट फाइल अनुपलब्ध छ भने, स्क्रिप्ट समाप्त हुन्छ; अन्यथा, यो पुन: जडान प्रयास गर्न २० मिनेट सम्मको अनियमित ढिलाइ परिचय गरेपछि अगाडि बढ्छ।

वातावरण तयारी: प्रणालीहरूलाई असक्षम पार्ने र अवरोध गर्ने

दोस्रो ब्याच स्क्रिप्टले सम्झौता भएको प्रणालीलाई व्यवस्थित रूपमा यसको सञ्चालन अवस्थालाई कमजोर बनाएर विनाशको लागि तयार पार्छ। यसका कार्यहरू समावेश छन्:

• स्थानीय प्रयोगकर्ता खाताहरूको गणना गर्दै र क्यास गरिएका प्रमाणपत्रहरू असक्षम पार्दै
• सक्रिय प्रयोगकर्ता सत्रहरू लग अफ गर्दै
• नेटवर्क इन्टरफेसहरू असक्षम पार्दै
• तार्किक ड्राइभहरू मेटाउन डिस्कपार्ट क्लीन अल आदेश कार्यान्वयन गर्दै

थप रूपमा, यसले फाइलहरूलाई ओभरराइट गर्न वा मेटाउन रोबोकपी र उपलब्ध सबै डिस्क स्पेस खपत गर्ने ठूला फाइलहरू सिर्जना गर्न fsutil जस्ता नेटिभ विन्डोज उपयोगिताहरूको प्रयोग गर्दछ, जसले प्रभावकारी रूपमा रिकभरी प्रयासहरूलाई रोक्छ।

अन्तिम पेलोड कार्यान्वयन: अपरिवर्तनीय क्षति

तयारी पछि, लोटस वाइपर पेलोड तैनाथ गरिन्छ। यसले पुनर्स्थापना बिन्दुहरू मेटाएर, भौतिक क्षेत्रहरू ओभरराइट गरेर, जर्नल रेकर्डहरू खाली गरेर, र माउन्ट गरिएका भोल्युमहरूमा सबै प्रणाली फाइलहरू हटाएर विनाश प्रक्रिया पूरा गर्दछ। यस चरणमा, बाह्य ब्याकअप बिना पुन: प्राप्ति लगभग असम्भव हुन्छ।

रक्षात्मक सिफारिसहरू: अनुगमन र न्यूनीकरण

विशेष गरी महत्वपूर्ण पूर्वाधार क्षेत्रहरूमा रहेका संस्थाहरूले सक्रिय अनुगमन र पत्ता लगाउने रणनीतिहरू अपनाउनु पर्छ। ध्यान केन्द्रित गर्ने प्रमुख क्षेत्रहरू समावेश छन्:

NETLOGON शेयरहरूमा परिवर्तनहरूको अनुगमन गर्दै
क्रेडेन्सियल डम्पिङ वा विशेषाधिकार वृद्धि प्रयासहरू पत्ता लगाउने
fsutil, robocopy, र diskpart जस्ता नेटिभ उपकरणहरूको असामान्य प्रयोग ट्र्याक गर्दै

रणनीतिक अन्तर्दृष्टि: पूर्व सम्झौताको प्रमाण

पुरानो विन्डोज वातावरण अनुरूप कार्यक्षमताको उपस्थितिले पूर्व जासूसी र दीर्घकालीन पहुँचको सुझाव दिन्छ। आक्रमणकारीहरूलाई लक्षित पूर्वाधारको विस्तृत ज्ञान भएको हुन सक्छ र विनाशकारी चरण सुरु गर्नु अघि नै डोमेन वातावरणमा सम्झौता गरेको हुन सक्छ।