【安全资讯】新型数据擦除恶意软件PathWiper袭击乌克兰关键基础设施

概要：

近日，一种名为PathWiper的新型数据擦除恶意软件被用于针对乌克兰关键基础设施的定向攻击，旨在破坏该国的运营。攻击者通过合法的端点管理工具部署了该恶意软件，表明他们已通过先前的入侵获得了系统的管理权限。Cisco Talos研究人员高度确信此次攻击与俄罗斯有关的高级持续性威胁（APT）有关。

主要内容：

PathWiper通过Windows批处理文件在目标系统上执行，该文件启动了一个恶意的VBScript（uacinstall.vbs），进而释放并执行主要负载（sha256sum.exe）。其执行过程模仿了合法管理工具的行为和名称，以逃避检测。

与之前的HermeticWiper不同，PathWiper通过编程方式识别系统上所有连接的驱动器（本地、网络、卸载的），然后滥用Windows API卸载卷以准备进行破坏，并为每个卷创建线程以覆盖关键的NTFS结构。

PathWiper覆盖了包括MBR（主引导记录）、$MFT（主文件表）、$LogFile（日志文件）和$Boot（引导文件）在内的多个关键NTFS文件，使受影响的系统完全无法运行。此次攻击不涉及勒索或任何形式的财务要求，其唯一目的是破坏和运营中断。

Cisco Talos已发布文件哈希和Snort规则，以帮助检测该威胁并在其破坏驱动器之前阻止它。自战争开始以来，数据擦除器已成为攻击乌克兰的强大工具，俄罗斯威胁行为者常用它们来破坏该国的关键运营。