Главная страница » Индикаторы компрометации
0
17 часов
Индикаторы компрометации

Новый файловый деструктор Lotus Wiper атакует энергетический сектор Венесуэлы: подробный разбор цепочки атаки

information security

Аналитики обнаружили ранее неизвестную программу-деструктор, получившую название Lotus Wiper, которая использовалась в целевой атаке на организации энергетического и коммунального сектора Венесуэлы. Инцидент, произошедший на фоне региональной геополитической напряжённости в конце 2025 - начале 2026 года, демонстрирует классический сценарий кибератаки, нацеленной на физическое уничтожение данных и вывод систем из строя без требования выкупа. Артефакты, включая сам деструктор и сопровождающие его сценарии, были загружены на общедоступный ресурс в середине декабря, что позволило специалистам детально восстановить всю цепочку компрометации.

Описание

В отличие от программ-вымогателей, целью которых является финансовое обогащение, программа-деструктор (wiper) создана для безвозвратного удаления информации и нарушения работоспособности инфраструктуры. Lotus Wiper не содержит механизмов вымогательства или инструкций по оплате, что указывает на иные, вероятно, политически или идеологически мотивированные цели атакующих. Анализ метаданных и содержимого вредоносного кода прямо указывает на ориентацию на предприятия энергетики и ЖКХ, а время появления образца совпадает с периодом повышенной активности угроз, нацеленных на этот регион и отрасль.

Атака начинается с выполнения пакетного файла OhSyncNow.bat, который выступает в роли инициатора деструктивной фазы. Этот скрипт выполняет подготовку среды, ослабляет защиту системы и координирует выполнение атаки в сети. Сначала он пытается отключить службу Interactive Services Detection (UI0Detect), которая в старых версиях Windows предупреждает пользователей о попытках фоновых служб вывести графический интерфейс. Это действие, актуальное только для устаревших систем, таких как Windows 7 или ранние версии Windows 10, может быть попыткой скрыть активность от администраторов.

Затем скрипт проверяет наличие общего сетевого ресурса NETLOGON в домене Active Directory и ищет на нём специальный XML-файл (OHSync.xml). Эта логика работает как сетевой триггер: наличие удалённого файла служит сигналом для начала атаки на все компьютеры в домене. Подобный механизм, известный как backdoor (бэкдор, или "чёрный ход"), часто используется для управления вредоносным ПО извне. Если файл найден, выполняется второй пакетный файл - notesreg.bat, который и осуществляет основную разрушительную работу. При этом скрипт включает случайную задержку до 20 минут перед повторной проверкой, что усложняет обнаружение аномальной активности.

Второй этап, реализуемый notesreg.bat, начинается с проверки, не выполнялся ли он ранее, после чего скрипт приступает к активным разрушительным действиям. Он перечисляет все локальные учётные записи пользователей, за исключением имён, связанных с IT-отделом целевой компании, меняет их пароли на случайные строки и деактивирует аккаунты. Это блокирует легитимный доступ к системе для администраторов и пользователей. Далее скрипт отключает кэшированные учётные данные для входа, что делает невозможной авторизацию при отсутствии сетевого соединения с контроллером домена, принудительно завершает все активные пользовательские сессии и отключает сетевые интерфейсы, изолируя компьютер от сети.

Основная деструктивная активность включает в себя несколько последовательных шагов. Сначала с помощью утилиты diskpart и команды "clean all" происходит полная зачистка всех логических дисков, при которой все разделы и данные перезаписываются нулями. Затем в рабочей директории создаётся набор легитимных системных утилит Windows, таких как robocopy, которые используются для дальнейших разрушений. С помощью robocopy в режиме зеркалирования (/MIR) содержимое системных папок рекурсивно перезаписывается или удаляется. Перед финальным шагом скрипт вычисляет свободное место на диске и создает файл, который практически полностью его заполняет, исчерпывая все доступное пространство для хранения. Финальным аккордом является запуск вредоносного исполняемого файла nstats.exe, замаскированного под легитимный компонент платформы HCL Domino (ранее Lotus Domino), который, в свою очередь, расшифровывает и запускает финальную полезную нагрузку - собственно деструктор Lotus Wiper. Аналитики из "Лаборатории Касперского" сообщили, что наличие этих заранее подготовленных исполняемых файлов на хостах жертв свидетельствует о том, что злоумышленники получили доступ в инфраструктуру задолго до начала активной деструктивной фазы.

Исполнение самого деструктора Lotus Wiper представляет собой последнюю стадию атаки. Программа получает максимальные привилегии в системе, после чего методично уничтожает возможность восстановления. В первую очередь она удаляет все точки восстановления Windows, используя системный API (srclient.dll). Это лишает администраторов возможности откатить систему к рабочему состоянию. Затем деструктор приступает к физическому уничтожению данных: он определяет геометрию каждого физического диска и многократно, в начале и в конце своей работы, перезаписывает все его секторы нулями, используя низкоуровневые IOCTL-команды.

Между волнами очистки дисков Lotus Wiper сканирует все смонтированные тома. Для каждого файла (но не для папок) он выполняет две операции: очищает связанную с ним запись в журнале изменений тома (USN Journal), чтобы скрыть следы, а затем перезаписывает содержимое файла нулями с помощью команды FSCTL_SET_ZERO_DATA. После этого файл переименовывается в случайное шестнадцатеричное имя и удаляется. Если удаление невозможно из-за блокировки файла системой, используется отложенное удаление при следующей перезагрузке. Такой комплексный подход делает восстановление данных практически невыполнимой задачей.

Специалисты отмечают, что для успешного выполнения всех этих действий вредоносной программе требуются права администратора. Это указывает на то, что атакующие, вероятно, предварительно провели операцию по повышению привилегий в скомпрометированной доменной среде. Важной деталью является дата компиляции финального файла деструктора - конец сентября 2025 года, при том что образцы были опубликованы лишь в середине декабря. Это говорит о длительной, многомесячной подготовке к атаке, в ходе которой злоумышленники детально изучили целевую среду, включая использование устаревших операционных систем.

Для противодействия подобным угрозам организациям, особенно в критических секторах, рекомендуется усилить мониторинг общей сетевой инфраструктуры, в частности, ресурсов NETLOGON, на предмет несанкционированного размещения файлов-триггеров. Крайне важно отслеживать аномальное использование встроенных системных утилит, таких как diskpart, robocopy, fsutil и netsh, которые могут быть применены в тактике "живи за счёт земли" (Living off the Land). Поскольку атака требует высоких привилегий, необходимо тщательно контролировать события, связанные с эскалацией прав и дампингом учётных данных. Наконец, наличие актуальных, изолированных и регулярно тестируемых резервных копий остаётся последней линией защиты, способной минимизировать ущерб от действий деструкторов, направленных на то, чтобы сделать восстановление невозможным.

Индикаторы компрометации

MD5

  • 0b83ce69d16f5ecd00f4642deb3c5895
  • b41d0cd22d5b3e3bdb795f81421a11cb
  • c6d0f67db6a7dbf1f9394d98c1e13670

Комментарии: 0
Похожие записи
0
02.05.2025
Индикаторы компрометации

От фишинга с обратным звонком до вымогательства: Luna Moth использует инструменты Reamaze Helpdesk и RMM против юридического и финансового секторов США

phishing
Аналитики EclecticIQ обнаружили, что группа угроз Luna Moth, также известная как Silent Ransom Group, активно проводит фишинговые кампании, направленные на юридические и финансовые организации в Соединенных Штатах.