在俄羅斯開始軍事入侵之前，破壞性網(wǎng)絡(luò)攻擊襲擊了烏克蘭多個實體，已觀察到針對未具名的烏克蘭政府網(wǎng)絡(luò)部署了一種新的數(shù)據(jù)擦除惡意軟件。

斯洛伐克網(wǎng)絡(luò)安全公司 ESET 將這種新的惡意軟件稱為“ IsaacWiper ”，稱該惡意軟件于 2 月 24 日在一個不受HermeticWiper(又名 FoxBlade)影響的組織中檢測到，這是另一種數(shù)據(jù)擦除惡意軟件，2 月 23 日針對多個組織作為破壞活動的一部分旨在使機器無法使用的操作。

對至少感染 5 個烏克蘭組織的 HermeticWiper 攻擊的進一步分析揭示了一種蠕蟲成分，在受感染的網(wǎng)絡(luò)中傳播惡意軟件，以及一個充當“分散擦除器攻擊的注意力”的勒索軟件模塊，證實了賽門鐵克先前的報告。

賽門鐵克認為這些破壞性攻擊至少利用了三個組件：用于擦除數(shù)據(jù)的 HermeticWiper，用于在本地網(wǎng)絡(luò)上傳播的 HermeticWizard，以及充當誘餌勒索軟件的 HermeticRansom?！?

在對新的基于 Golang 的勒索軟件的單獨分析中，將惡意軟件代號為“Elections GoRansom”的俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基將其描述為最后一刻的操作，并補充說“很可能被用作 HermeticWiper 攻擊的煙幕，因為它的風格不成熟，執(zhí)行不力?！?

作為一種反取證措施，HermeticWiper 還通過用隨機字節(jié)覆蓋自己的文件來從磁盤中擦除自身，從而阻礙分析。

ESET 表示沒有找到“任何切實的聯(lián)系”來將這些攻擊歸因于已知的威脅行為者，惡意軟件工件暗示入侵已經(jīng)計劃多個月，更不用說目標實體提前遭受攻擊的事實到雨刷器的部署。

ESET 威脅研究負責人 Jean-Ian Boutin 說：“這是基于幾個事實：HermeticWiper PE 編譯時間戳，最早的是 2021 年 12 月 28 日;代碼簽名證書頒發(fā)日期是 2021 年 4 月 13 日;以及在至少一個實例中通過默認域策略部署 HermeticWiper ，這表明攻擊者之前可以訪問該受害者的一臺 Active Directory 服務(wù)器”

同樣未知的是用于部署兩個擦除器的初始訪問向量，盡管攻擊者懷疑攻擊者利用了Impacket和遠程訪問軟件 RemCom 等工具進行橫向移動和惡意軟件分發(fā)。此外，IsaacWiper 與 HermeticWiper 沒有代碼級重疊，并且沒有那么復雜，即使它在著手執(zhí)行其文件擦除操作之前開始枚舉所有物理和邏輯驅(qū)動器。

研究人員說：“2022 年 2 月 25 日，攻擊者刪除了帶有調(diào)試日志的新版本 IsaacWiper。可能表明攻擊者無法擦除一些目標機器并添加日志消息以了解正在發(fā)生的事情?！?/p>