ハッカーたちがベネズエラのエネルギーおよび公益事業組織に対する標的型サイバー攻撃で、ロータスワイパーと呼ばれる新しい破壊的マルウェアを展開し、金銭恐喝を目的とするのではなく、データを破壊し、操業を永続的に妨害することを狙っている。
ロータスワイパー攻撃チェーンのアーティファクトは、2025年12月中旬にベネズエラ国内のマシンから公開マルウェア共有リソースにアップロードされ、同国のエネルギー部門に対する悪意のある活動の報告と重なっている。
サンプルおよびパス名に埋め込まれたインジケーターは、意図された被害者が公益事業およびエネルギー領域で活動していることを示しており、ラテンアメリカおよびカリブ海における広範な重要インフラ標的化傾向と一致している。
ランサムウェアとは異なり、ロータスワイパーは身代金要求書、支払い指示、またはいかなる恐喝関連ロジックも表示せず、この操作が金銭的動機ではなく政治的または戦略的動機によるものであるという評価を強化している。
コンパイルタイムスタンプは2025年9月後期を指していますが、12月のアップロード日付は数ヶ月の準備と影響を受けた環境の予想される事前の侵害を示唆しています。
バッチスクリプトが破壊をセットアップ
攻撃チェーンはネットワーク全体で調整された「キルスイッチ」として機能し、最終的なワイプのためにシステムを準備するバッチスクリプトで始まる。
OhSyncNow.batが最初に観察されたスクリプトであり、作業ディレクトリ(好ましくはC:\lotus)を作成し、古いWindowsシステムのレガシーインタラクティブサービス検出(UI0Detect)サービスを無効にしようとし、その後ネットワーク全体の実行トリガーとして使用される制御XMLファイル(OHSync.xml)のNETLOGON共有をチェックする。
リモートマーカーが存在する場合、スクリプトは2番目のバッチファイルnotesreg.batの実行に進み、最初に1回のみ実行されることを保証し、ローカルユーザーアカウントを列挙し、パスワードをランダム値に変更し、ほとんどを非アクティブとしてマークして合法的なユーザーを効果的にロックアウトしながら、いくつかのハードコードされたアカウントを保持する。
その後、Winlogonレジストリキー経由でキャッシュされたログオンを無効にし、アクティブセッションをログオフし、netshコマンドを実行してネットワークインターフェースを無効にし、データ破壊が始まる前に外部通信を遮断する。
同じスクリプトはその後、組み込みのWindowsツールを使用して完全に破壊的なフェーズに移行する。論理ドライブを列挙し、diskpartをclean allコマンドで呼び出してボリュームをゼロで上書きし、パーティションとデータを破壊する。
ミラーモードでrobocopを使用して、システム全体のフォルダコンテンツを再帰的に上書きまたは削除し、その後fsutilを使用してほぼすべての残りの空き容量を消費する大量のフィラーファイルを作成し、フォレンジック復旧をさらに複雑にする。
最後に、スクリプトはnstats.exeという名前の偽のHCL Dominoエグゼキュタブルを起動し、2つの追加のマスカレードバイナリ(nevent.exeとndesign.exe)を引数として渡す。nstats.exeは1つのファイルからもう1つのファイルにワイパーペイロードを復号化し、最終的なロータスワイパーインプラントを復元し、昇格された権限で実行する。
このステージングは、攻撃者が被害者ドメインでの長期間のバックドアアクセスと一致して、複数のホストにこれらのバイナリをすでに配置していたことを意味する。
ロータスワイパー内部
実行中になると、ロータスワイパーは現在のトークン内のすべての特権を有効にし、システムリストア API(srclient.dll)を使用してWindowsリストアポイントを削除し、ディスクジオメトリをクエリしてローレベルIOCTL呼び出し経由ですべてのセクターにゼロを書き込んで物理ドライブを体系的にワイプする。
USN変更ジャーナルを繰り返しクリアし、ボリュームを列挙し、ファイルコンテンツをゼロにするスレッドを起動し、ランダムな16進数文字列に名前を変更し、ファイルがロックされている場合はMoveFileExWを遅延削除フラグで使用して削除する。
ロータスワイパーはリストアポイントを削除し、ジャーナルをクリアし、ディスクを上書きし、複数のパスでファイルを削除するため、侵害されたシステムは起動不可能で効果的に復旧不可能なままになり、NotPetyaおよびHermeticWiperのような歴史的な事件と同じ破壊的なクラスに置かれる。
エネルギーおよび政府機関の環境のセキュリティチームは、OHSync.xmlで見られるように、調整された実行トリガーとして機能する可能性のある予期しないXMLまたはスクリプトファイルについてNETLOGONおよびドメイン共有を密接に監視する必要がある。
彼らはまた、ワイパーイベントの準備を示す可能性のある、「ランド外での生活」ツール(diskpart、robocopy、fsutilなど)の疑わしい大規模な使用を探すべきである。
ロータスワイパーが昇格された権限を必要とすることを考えると、組織はUI0Detectのようなサービスを露出させる可能性のあるレガシーWindowsシステムで、特に認証情報の衛生を強化し、トークン乱用、認証情報ダンピング、および異常な管理者活動を監視する必要がある。
最後に、完全ディスクワイプシナリオに対する復元に定期的にテストされた、復元力のある、セグメント化されたバックアップは、防止と検出が失敗した場合、この種の破壊的な攻撃から生き残るために重要なままである。
翻訳元: https://gbhackers.com/lotus-wiper/
