针对乌克兰的数据擦除攻击盛行！第四个新样本被发现

3月14日，研究人员再次发现针对乌克兰组织目标的数据破坏恶意软件CaddyWiper，能在受感染网络中跨系统执行数据删除。

ESET研究实验室解释称，“这种新型恶意软件会删除所连接驱动器内的用户数据与分区信息。”

“ESET遥测数据显示，目前已经有少量组织的几十个系统中出现该恶意软件的身影。”

全新恶意样本，编译完就被用于攻击

虽然设计目标是在所部署的Windows域内擦除数据，但CaddyWiper恶意软件会使用DsRoleGetPrimaryDomainInformation()函数来检查目标设备是否属于域控制器。如果是，则不会删除该域控制器上的数据。

这种设计很可能是攻击者设计的一种策略，即在目标组织的受感染网络内保持访问能力的前提下，不断擦除其他关键设备上的数据以干扰正常运营。

研究人员在某乌克兰组织的网络中发现了恶意软件样本。他们进行逆向分析时发现，该恶意软件当天刚刚编译完成，就马上被用于发动攻击。

ESET还表示，“CaddyWiper与此前披露的数据擦除软件HermeticWiper、IssacWIper或者任何其他恶意软件，均没有明显的代码相似性。我们手上的分析样本也没有经过数字签名。”

“与HermeticWiper的部署方式类似，我们观察到CaddyWiper也是通过GPO部署的，这表明攻击者已经事先控制了目标网络。”

今年第四次针对性数据擦除攻击

自今年年初以来，针对乌克兰的攻击活动中已经先后出现四种数据擦除恶意软件，除最新成员CaddyWiper外，其他有两种还是ESET研究实验室的分析人员发现，另外一种则被微软发现。

2月23日，就在俄罗斯军事攻击乌克兰的前一天，ESET研究人员发现一种被命名为HermeticWiper的数据擦除恶意软件。此恶意软件与勒索软件诱饵配合，共同被用于向乌克兰发动攻势。

2月24日，俄罗斯军事攻击乌克兰当天，ESET研究人员又发现了另一种被命名为IssacWiper的数据擦除程序，以及HermeticWizard新型蠕虫病毒（用于传播HermeticWiper的有效载荷）。

微软发现的是被命名为WhisperGate的擦除程序。这款恶意软件曾在今年1月中旬被用于向乌克兰发动数据擦除攻击，还将自身伪装成勒索软件。

微软公司总裁Brad Smith表示，这些针对乌克兰组织发动破坏性攻击的恶意软件“目标精确”。

此情此景，不禁让人联想到2017年曾对乌克兰等多国造成巨大影响的NotPetya恶意软件。事后归因认为，那场攻击与俄罗斯GRU相关的黑客组织Sandworm有关。

乌克兰安全局（SSU）在俄乌冲突爆发前表示，这类破坏性攻击属于“大规模混合战争”的组成部分。