烏克蘭網絡攻擊中使用的新型破壞性惡意軟件

隨著烏克蘭戰爭的繼續，有報導稱首都基輔發生了最新的破壞以及當地市長實施了宵禁，網絡空間的戰鬥也愈演愈烈。安全研究人員昨天報告說，在多個烏克蘭網絡中發現了一種新的破壞性惡意軟件。

新的惡意軟件起到了擦除器的作用，而不是像勒索軟件那樣試圖洩露數據或對其進行加密。取而代之的是，威脅擦除工具只是刪除它們可以刪除的所有內容並擦除空間以防止數據恢復。

CaddyWiper 刪除文件、分區

新發現的工具被稱為 CaddyWiper，惡意軟件研究人員在 Twitter 帖子中對此進行了詳細說明。這是自該國軍事衝突開始以來，在烏克蘭野外發現的第三個具有威脅性的雨刷器。奇怪的是，CaddyWiper 的有效載荷是全新的，並且是在用於攻擊烏克蘭系統的同一天編譯的。

關於新推出的惡意軟件的另一個有趣的細節是，雖然它會破壞數據並刪除分區，但它不會干擾域控制器。域控制器是網絡的一部分，負責處理身份驗證請求和訪問給定網絡上的域資源。這可能意味著該工具旨在為其操作員提供對受感染系統的擴展訪問權限，以及擦除數據的主要任務。

CaddyWiper 傳播到以前被入侵的網絡

用於傳播 CaddyWiper 的工具被發現是 Microsoft 組策略對像或 GPO。但是，在至少一個受感染網絡實例中，其默認 GPO 被用於傳播惡意軟件。這本身就表明，無論第三方運行 CaddyWiper，都已經獲得了對網絡 Active Directory 服務的未經授權的訪問權限。

最近幾週在針對烏克蘭目標的網絡攻擊中使用的兩個先前的威脅工具被稱為HermeticWiper和IsaacWiper 。這兩種工具都具有破壞性功能，但在代碼方面與最新的 CaddyWiper 沒有有意義的相似之處。

連同有關在烏克蘭使用 CaddyWiper 工具的報導，另一次網絡攻擊成為頭條新聞，這次是針對俄羅斯石油公司 Rosneft。據報導，Rosneft 的一家德國子公司遭到了國際黑客組織 Anonymous 的攻擊。報告稱，攻擊中洩露了 20TB 的數據。德國當局正在調查這起襲擊事件。 Rosneft Deutschland 的設施沒有受到影響。