Lotus Wiper
網路安全分析師發現了一種先前未被記錄的資料擦除惡意軟體,現名為 Lotus Wiper,該惡意軟體在 2025 年底至 2026 年初期間針對委內瑞拉的能源和公用事業部門發動了定向攻擊。這種惡意軟體旨在造成最大程度的破壞,使受感染的系統完全無法運作。
目錄
協同攻擊執行:多階段部署
此次攻擊依賴兩個批次腳本,它們精心策劃並執行一系列步驟。這些腳本會同步網路中的活動,削弱系統防禦,並在啟動最終有效載荷之前擾亂正常運作。它們的作用包括檢索、反混淆和執行擦除組件,從而確保順利過渡到破壞階段。
系統性破壞:蓮花雨刷的運作原理
Lotus Wiper 啟動後會執行全面的資料清除過程,徹底摧毀系統功能和復原選項。其破壞性功能包括:
- 移除復原機制,包括還原點
- 使用零資料覆蓋實體磁碟機磁區
- 刪除所有已掛載磁碟區上的文件
- 卷期刊中更新序號 (USN) 的清除
這些措施共同導致受影響的系統無法透過傳統方式進行恢復或重建。
意圖指標:非經濟動機
與勒索軟體不同,Lotus Wiper 不包含任何勒索資訊或付款指令。這一缺失強烈表明,此次攻擊活動並非出於經濟目的,而是出於破壞或地緣政治動機。值得注意的是,該惡意軟體樣本於 2025 年 12 月中旬從委內瑞拉系統公開上傳,恰好在 2026 年 1 月美國軍事行動之前不久。儘管尚未證實兩者之間存在直接聯繫,但這一時間點與針對同一領域的網路活動報告增多相吻合,表明這是一次高度集中的行動。
針對遺留系統:利用過時的環境
攻擊鏈始於一個批次腳本,該腳本會啟動一個多階段進程。其早期操作之一是嘗試停用 Windows 互動式服務偵測 (UI0Detect) 服務。該服務在 Windows 10 版本 1803 之後的 Windows 版本中已被移除,這表明該惡意軟體專門針對舊版作業系統而設計。
該腳本還會檢查是否存在 NETLOGON 共用,並擷取遠端 XML 檔案。它會將此檔案與儲存在 C:\lotus 或 %SystemDrive%\lotus 等目錄中的本機版本進行比較。此操作可能用於判斷系統是否屬於 Active Directory 網域。如果遠端檔案不可用,腳本將終止;否則,腳本會在可能引入最多 20 分鐘的隨機延遲以重試連線後繼續執行。
環境準備:停用和中斷系統
第二批腳本透過系統性地削弱受感染系統的運作狀態,為銷毀該系統做好準備。其操作包括:
- 列舉本機使用者帳戶並停用快取憑證
- 登出活躍用戶會話
- 停用網路介面
- 執行 diskpart clean all 指令以擦除邏輯驅動器
此外,它還利用 Windows 原生實用程式(例如 robocopy)來覆蓋或刪除文件,並利用 fsutil 創建佔用所有可用磁碟空間的大文件,從而有效地阻止復原工作。
最終有效載荷執行:不可逆損傷
準備工作完成後,Lotus Wiper 有效載荷將部署。它會刪除還原點、覆蓋實體磁區、清除日誌記錄並移除所有已掛載磁碟區上的系統文件,從而完成銷毀過程。此時,如果沒有外部備份,幾乎不可能進行復原。
防禦性建議:監測和緩解
各組織,特別是關鍵基礎設施領域的組織,應採取積極主動的監測和檢測策略。重點關注領域包括:
監控 NETLOGON 共享的更改
檢測憑證轉儲或權限提升嘗試
追蹤 fsutil、robocopy 和 diskpart 等原生工具的異常使用情況
策略洞察:先前妥協的證據
針對過時Windows環境定制的功能的存在表明攻擊者事先進行了偵察並進行了長期訪問。攻擊者可能對目標基礎設施瞭如指掌,並且可能在發動破壞性攻擊之前就已經攻破了域環境。
