PathWiper 惡意軟體
一種名為 PathWiper 的新型破壞性惡意軟體被發現出現在針對烏克蘭關鍵基礎設施的網路攻擊中。其主要目標明確:擾亂並削弱烏克蘭境內的作戰能力。
目錄
透過合法工具進行秘密部署
攻擊者使用合法的終端管理工具部署了 PathWiper 有效載荷。這種交付方式表明,威脅行為者已透過先前的入侵獲得了目標系統的管理存取權限,凸顯了攻擊背後的複雜性和計劃性。
歸因:熟悉的對手回歸
調查此事件的網路安全研究人員高度肯定地將此次攻擊歸咎於與俄羅斯相關的高級持續性威脅 (APT)。觀察到的戰術、技術和程序 (TTP) 與 Sandworm 組織非常相似,Sandworm 是一個已知威脅組織,曾在烏克蘭部署 HermeticWiper。
PathWiper:HermeticWiper 的繼任者
PathWiper 與 HermeticWiper 有顯著的相似之處,這表明它可能是早期惡意軟體的演化版。兩者都旨在透過破壞關鍵系統資料來造成最大破壞,而行為上的重疊意味著它們涉及相同或密切相關的威脅群集。
多階段攻擊鏈
該惡意軟體透過多階段過程執行:
- Windows 批次檔觸發惡意 VBScript(uacinstall.vbs)。
- 腳本刪除並執行核心有效負載(sha256sum.exe),偽裝成合法的管理工具以逃避偵測。
高級驅動器枚舉和磁碟區破壞
與專注於枚舉實體驅動器的 HermeticWiper 不同,PathWiper 更進一步,它以編程方式識別所有連接的驅動器,包括本地、網路和已卸載的捲。然後,它利用 Windows API 卸載這些卷,以準備進行破壞。
此惡意軟體會為每個磁碟區產生執行緒來覆蓋基本 NTFS 結構,導致系統無法運作。
針對核心系統檔案的破壞
PathWiper 損壞的系統組件包括:
- MBR(主開機記錄):包含開機載入程式和分割區表。
- $MFT(主文件表):維護所有文件和目錄的索引。
- $LogFile:追蹤完整性和恢復的變化。
- $Boot:儲存開機磁區和檔案系統資訊。
此外,其他五個關鍵的 NTFS 元資料檔案也被隨機位元組覆蓋,進一步確保受影響的系統無法恢復。
沒有贖金,沒有要求──只有毀滅
值得注意的是,PathWiper 的攻擊並未包含任何形式的勒索或贖金要求。這證實了其主要目標是:徹底破壞運營,而非取得經濟利益。
擦除器:混合戰爭中反覆出現的工具
自烏克蘭戰爭爆發以來,資料擦除器已成為俄羅斯網路行動的標誌性工具。這些工具已在多起攻擊活動中部署,造成了毀滅性的影響。其他在已偵測到的攻擊活動中使用的資料擦除器包括: CaddyWiper 、 HermeticWiper 、 IsaacWiper 、 AcidRain等等。
這些都在透過網路戰破壞烏克蘭基礎設施的更廣泛戰略中發揮了作用。
結論:PathWiper 標誌著一次危險的演變
PathWiper 是針對烏克蘭的破壞性網路工具不斷升級的典型案例。它擁有先進的規避技術、深度系統級破壞能力,且追蹤到已知的俄羅斯 APT 攻擊,在現代網路衝突格局中構成了重大威脅。
