Lotus Wiper
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ทำลายข้อมูลที่ไม่เคยมีการบันทึกมาก่อน ซึ่งปัจจุบันรู้จักกันในชื่อ Lotus Wiper โดยมัลแวร์นี้ถูกนำไปใช้ในการโจมตีเป้าหมายในภาคพลังงานและสาธารณูปโภคของเวเนซุเอลา ระหว่างปลายปี 2025 ถึงต้นปี 2026 มัลแวร์นี้ถูกออกแบบมาเพื่อทำลายล้างข้อมูลอย่างสูงสุด ทำให้ระบบที่ติดเชื้อใช้งานไม่ได้โดยสิ้นเชิง
สารบัญ
การดำเนินการโจมตีแบบประสานงาน: การวางกำลังหลายขั้นตอน
การโจมตีนี้อาศัยสคริปต์แบบแบตช์สองตัวที่ควบคุมการปฏิบัติการอย่างระมัดระวัง สคริปต์เหล่านี้จะประสานกิจกรรมต่างๆ ทั่วทั้งเครือข่าย ลดทอนการป้องกันของระบบ และขัดขวางการทำงานปกติก่อนที่จะเริ่มการโจมตีขั้นสุดท้าย บทบาทของสคริปต์เหล่านี้รวมถึงการดึงข้อมูล การถอดรหัส และการเรียกใช้ส่วนประกอบ wiper เพื่อให้การเปลี่ยนผ่านไปสู่ขั้นตอนการทำลายล้างเป็นไปอย่างราบรื่น
การทำลายอย่างเป็นระบบ: หลักการทำงานของที่ปัดน้ำฝนโลตัส
เมื่อเปิดใช้งาน Lotus Wiper จะดำเนินการลบข้อมูลอย่างครอบคลุม ซึ่งจะกำจัดทั้งฟังก์ชันการทำงานของระบบและตัวเลือกการกู้คืน ความสามารถในการทำลายล้างของมันประกอบด้วย:
- การลบกลไกการกู้คืน รวมถึงจุดคืนค่า
- การเขียนทับเซกเตอร์ของไดรฟ์ทางกายภาพด้วยข้อมูลที่เป็นศูนย์
- การลบไฟล์ในทุกไดรฟ์ที่เชื่อมต่ออยู่
- การล้างหมายเลขลำดับการอัปเดต (USN) ในวารสารเล่ม
การกระทำเหล่านี้โดยรวมแล้วทำให้มั่นใจได้ว่าระบบที่ได้รับผลกระทบจะไม่สามารถซ่อมแซมหรือสร้างใหม่ได้ด้วยวิธีการแบบเดิม
ตัวบ่งชี้เจตนา: ไม่ได้มีแรงจูงใจทางการเงิน
แตกต่างจากแรนซัมแวร์ Lotus Wiper ไม่มีข้อความข่มขู่หรือคำสั่งชำระเงินใดๆ การที่ไม่มีสิ่งเหล่านี้บ่งชี้อย่างชัดเจนว่าการโจมตีครั้งนี้ไม่ได้มีเป้าหมายทางการเงิน แต่เป็นการก่อวินาศกรรมหรือแรงจูงใจทางภูมิรัฐศาสตร์ ที่น่าสังเกตคือ ตัวอย่างมัลแวร์ถูกอัปโหลดสู่สาธารณะในช่วงกลางเดือนธันวาคม 2025 จากระบบของเวเนซุเอลา ไม่นานก่อนปฏิบัติการทางทหารของสหรัฐฯ ในเดือนมกราคม 2026 แม้ว่าจะยังไม่มีการยืนยันความเชื่อมโยงโดยตรง แต่ช่วงเวลาดังกล่าวสอดคล้องกับรายงานที่เพิ่มขึ้นเกี่ยวกับการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคส่วนเดียวกัน ซึ่งบ่งชี้ว่าเป็นการปฏิบัติการที่มีเป้าหมายเฉพาะเจาะจงสูง
การโจมตีระบบเก่า: การใช้ประโยชน์จากสภาพแวดล้อมที่ล้าสมัย
กระบวนการโจมตีเริ่มต้นด้วยสคริปต์แบบแบตช์ที่เริ่มกระบวนการหลายขั้นตอน หนึ่งในขั้นตอนแรกๆ คือการพยายามปิดใช้งานบริการ Windows Interactive Services Detection (UI0Detect) บริการนี้ถูกลบออกไปใน Windows เวอร์ชันใหม่ๆ หลังจาก Windows 10 เวอร์ชัน 1803 ซึ่งบ่งชี้ว่ามัลแวร์นี้ได้รับการออกแบบมาโดยเฉพาะเพื่อโจมตีระบบปฏิบัติการรุ่นเก่า
สคริปต์ยังตรวจสอบการมีอยู่ของแชร์ NETLOGON และดึงไฟล์ XML จากระยะไกล จากนั้นจะเปรียบเทียบไฟล์นี้กับเวอร์ชันที่จัดเก็บไว้ในเครื่องในไดเร็กทอรีต่างๆ เช่น C:\lotus หรือ %SystemDrive%\lotus พฤติกรรมนี้อาจช่วยตรวจสอบว่าระบบเป็นส่วนหนึ่งของโดเมน Active Directory หรือไม่ หากไฟล์ระยะไกลไม่พร้อมใช้งาน สคริปต์จะหยุดทำงาน แต่ถ้าไฟล์พร้อมใช้งาน สคริปต์จะดำเนินการต่อหลังจากอาจมีการหน่วงเวลาแบบสุ่มนานถึง 20 นาทีเพื่อลองเชื่อมต่อใหม่
การเตรียมสภาพแวดล้อม: การปิดใช้งานและการขัดขวางระบบ
สคริปต์ชุดที่สองเตรียมระบบที่ถูกบุกรุกให้พร้อมสำหรับการทำลายโดยการทำให้สถานะการทำงานของระบบอ่อนแอลงอย่างเป็นระบบ การกระทำต่างๆ ของสคริปต์นี้ได้แก่:
- แสดงรายการบัญชีผู้ใช้ในเครื่องและปิดใช้งานข้อมูลประจำตัวที่แคชไว้
- การออกจากระบบเซสชันผู้ใช้ที่ใช้งานอยู่
- การปิดใช้งานอินเทอร์เฟซเครือข่าย
- เรียกใช้คำสั่ง diskpart clean all เพื่อลบไดรฟ์ตรรกะ
นอกจากนี้ ยังใช้ประโยชน์จากยูทิลิตี้พื้นฐานของ Windows เช่น robocopy เพื่อเขียนทับหรือลบไฟล์ และ fsutil เพื่อสร้างไฟล์ขนาดใหญ่ที่ใช้พื้นที่ดิสก์ทั้งหมด ทำให้การกู้คืนข้อมูลทำได้ยาก
การดำเนินการโจมตีขั้นสุดท้าย: ความเสียหายที่ไม่สามารถแก้ไขได้
หลังจากเตรียมการเสร็จแล้ว โปรแกรม Lotus Wiper จะถูกติดตั้ง มันจะดำเนินการทำลายข้อมูลให้เสร็จสมบูรณ์โดยการลบจุดกู้คืน เขียนทับเซกเตอร์ทางกายภาพ ล้างบันทึกการเปลี่ยนแปลง และลบไฟล์ระบบทั้งหมดในไดรฟ์ที่เชื่อมต่ออยู่ ในขั้นตอนนี้ การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลยหากไม่มีการสำรองข้อมูลภายนอก
คำแนะนำด้านการป้องกัน: การเฝ้าระวังและการลดผลกระทบ
องค์กรต่างๆ โดยเฉพาะอย่างยิ่งองค์กรในภาคโครงสร้างพื้นฐานที่สำคัญ ควรนำกลยุทธ์การตรวจสอบและตรวจจับเชิงรุกมาใช้ ประเด็นสำคัญที่ควรให้ความสนใจ ได้แก่:
ติดตามการเปลี่ยนแปลงของหุ้น NETLOGON
การตรวจจับการดัมพ์ข้อมูลประจำตัวหรือการพยายามยกระดับสิทธิ์
ติดตามการใช้งานที่ผิดปกติของเครื่องมือพื้นฐาน เช่น fsutil, robocopy และ diskpart
ข้อมูลเชิงกลยุทธ์: หลักฐานการประนีประนอมก่อนหน้านี้
การมีฟังก์ชันการทำงานที่ออกแบบมาสำหรับสภาพแวดล้อม Windows ที่ล้าสมัย บ่งชี้ว่ามีการสำรวจข้อมูลล่วงหน้าและการเข้าถึงในระยะยาว ผู้โจมตีอาจมีความรู้โดยละเอียดเกี่ยวกับโครงสร้างพื้นฐานของเป้าหมาย และอาจบุกรุกสภาพแวดล้อมของโดเมนได้ก่อนที่จะเริ่มขั้นตอนการทำลายล้าง
