【安全资讯】亲俄黑客组织对乌克兰发动新型擦除恶意软件攻击

概要：

近日，乌克兰关键基础设施遭受新型擦除恶意软件PathWiper的攻击，研究人员将其归因于亲俄黑客组织。此次攻击显示出俄罗斯在网络战术上的持续演变，攻击手法与2022年俄乌冲突初期使用的HermeticWiper有相似之处，但技术细节更为复杂。PathWiper通过破坏主引导记录和NTFS相关数据，对目标系统造成广泛破坏。

主要内容：

Cisco Talos研究人员发现，PathWiper是一种新型擦除恶意软件，针对乌克兰关键基础设施。攻击者已控制目标组织的终端管理系统，显示出较高的技术水平。PathWiper通过枚举连接的存储介质（包括物理驱动器、卷名和网络驱动器路径），并为每个路径创建线程，用随机生成的字节覆盖数据。

与HermeticWiper不同，PathWiper会程序化识别所有连接的驱动器和卷，包括已卸载的，并记录有效记录。此外，PathWiper在覆盖数据前会尝试使用FSCTL_DISMOUNT_VOLUME IOCTL卸载卷，以增强破坏效果。这种复杂的机制使得PathWiper能够在目标网络中广泛部署，造成大规模破坏。

此次攻击与亲俄APT组织有关，战术上与之前的亲俄行动相似。PathWiper的出现进一步表明，俄罗斯在网络战中持续升级其攻击手段。自俄乌冲突爆发以来，擦除恶意软件的使用显著增加，已对乌克兰及其周边地区的基础设施造成广泛影响。