脅威アクターがエネルギー・ユーティリティ部門への最近の攻撃で新しいワイパーマルウェアを使用したと、サイバーセキュリティ企業Kasperskyが警告しています。
攻撃はベネズエラの組織を標的とし、最終ペイロードのLotus Wiperを取得する前に防御を弱める、操作を妨害するための2つのバッチスクリプトに依存していました。
2025年9月にコンパイルされた可能性が高く、ワイパーと関連した成果物は12月中旬に公開プラットフォームにアップロードされました。
「ワイパーは復旧メカニズムを削除し、物理ドライブのコンテンツを上書きし、影響を受けたボリューム全体のファイルを体系的に削除し、最終的にシステムを回復不可能な状態にします」とKasperskyは説明しています。
支払い指示または恐喝方法の欠如、およびベネズエラのエネルギー・ユーティリティ部門を標的としたマルウェア活動が増加した時期のマルウェアのアップロードは、Lotus Wiperが極めて標的型であることを示唆していると、サイバーセキュリティ企業は述べています。
サイバーセキュリティ企業は帰属に関する情報は共有していませんが、「2025年後半から2026年初頭にかけてカリブ海地域で発生した地政学的緊張」を引用しました。
注目すべきことに、いくつかのレポートによると、2026年1月初旬のベネズエラの大統領ニコラス・マドゥーロのアメリカによる抽出には、停電を引き起こし、防空レーダーを無効化するためのサイバー攻撃が関与していました。
Lotus Wiperの実行チェーンは、バッチスクリプトで始まります。これは、背景で悪意のあるアクティビティが発生していることを示す目に見える警告を防ぐために、従来のWindowsサービスInteractive Services Detection(UI0Detect)を停止しようとします。
悪意のあるスクリプトは、まだUI0Detectが実行されている古いWindowsバージョンで実行されるように構築されているようです。Windows 10バージョン1803ではサービスが正式にOSから削除されたためです。
さらに、スクリプトはNETLOGON共有上のファイルをチェックし、ファイルパスを構築するために被害組織の名前を変数にコーディングします。このファイルと対応するローカルファイルが存在する場合、2番目のバッチスクリプトを実行します。リモートファイルが存在しない場合は終了しますが、ローカルファイルが欠落していても次のステージに進みます。
「このロジックはネットワークベースのトリガーとして機能します。リモートXMLファイルの存在が、ドメイン内のシステム全体での実行を開始する制御信号として機能します。このアプローチは、外部にアクセス可能なリソースに依存してマルウェアの動作を制御する、古典的なバックドアトリガーメカニズムと一貫しています」とKasperskyは説明しています。
2番目のスクリプトは、別のファイルをチェックして、既に実行されたかどうかを判断します。ファイルが存在しない場合、ローカルユーザーアカウントを列挙し、パスワードを変更し、キャッシュされたログインを無効化し、アクティブなセッションをログオフし、ネットワークインターフェイスを無効化してデバイスアクセスを防止します。
また、論理ドライブを列挙し、その内容をワイプし、Windowsバイナリを作業ディレクトリにコピーし、フォルダをミラーして既存のコンテンツを上書きまたは削除し、利用可能な空き容量を計算して大きなファイルで埋める、ストレージ容量を枯渇させます。
その後、実行ファイルを実行し、Lotus Wiperの取得と実行に至ります。Kasperskyによると、攻撃者は、バイナリが攻撃前にステージングされたため、おそらく侵害されたシステムへの事前アクセスを持っていたと考えられます。
ワイパーは「その現在のトークンのすべての特権を有効にして、管理機能にアクセスし(既存の昇格された権限に依存)、復元ポイントを削除し、すべてのセクターにゼロを書き込むことで、すべての物理ドライブをワイプします。その後、ボリュームのジャーナルの更新シーケンス番号(USN)をクリアし、最後にすべてのボリュームをスキャンして削除するファイルを探します」とKasperskyは述べています。
