ESET發現駭客對烏克蘭發動網路攻擊中所使用的惡意程式

國際資安大廠ESET發現駭客對烏克蘭發動的網路攻擊中所使用的惡意程式，包括資料刪除程式HermeticWiper、IssacWiper，以及勒索軟體HermeticRansom

在俄羅斯攻擊烏克蘭前一日(2月23日)，ESET已經偵測到對烏克蘭基礎架構的資訊戰活動，而偵測到的一波攻擊包括3項元素，分別是HermeticWizard經由WMI（Windows Management Instrumentation）和SMB協定散布的HermeticWiper，以及用Go語言撰寫的勒索軟體HermeticRansom，這波攻擊至少影響烏克蘭5個組織的數百臺系統。

而在不到24小時內，ESET又發現另一隻資料刪除程式，他們將之命名為IssacWiper，IssacWiper目前的樣本是在Windows DLL或EXE檔中發現，不具程式碼簽章憑證。研究人員推測IssacWiper攻擊者可能是利用Imapcket等工具在受害者網路內橫向移動，此外，幾臺受害機器中也看到遠端存取木馬（RAT）RemCom，可能是和IssacWiper同時植入。從其編譯時戳來看，最早可追溯到2021年10月19日，因此研究人員相信IssacWiper可能已被用於幾個月前的攻擊。

這是繼一月的WisperGate以來，第三隻攻擊烏克蘭的資料刪除程式。

這幾波攻擊來源目前尚無法得知，主要是因為HermeticWiper、HermeticWizard和HermeticRansom與ESET過去所知的惡意程式相似性甚低，故未能找到IssacWiper的來源，或是它最初的攻擊管道。

目前研究人員還在分析兩者之間關聯性，但一些未受HermeticWiper影響的機構卻有見到IssacWiper；就程式碼相似性來看，IssacWiper和HermeticWiper的程式碼幾乎沒重疊，也較為粗糙；HermeticWiper相當兇惡，濫用硬碟分割軟體EaseUS Partition Master的合法驅動程式（如下圖所示），先毁損資料再將受害電腦重新開機。在研究人員分析的一項案例中，這隻程式是經由預設的網域GPO植入系統，意謂攻擊者可能已經接管受害機構的AD伺服器。

相較而言，攻擊者釋出的新版IssacWiper有除錯紀錄，顯示舊版未能將受害電腦資料刪除掉，攻擊者試圖了解原因所在。

研究人員相信，就目前烏克蘭危機來看，不論是烏克蘭或支持它的國家，都有持續遭遇網路攻擊的風險。

原文出處：https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/