俄罗斯入侵乌克兰后，第二个新的“IsaacWiper”数据雨刷针对乌克兰

在俄罗斯军事入侵开始前，乌克兰多个实体遭受破坏性网络攻击一天后，一个新的数据雨刷恶意软件被发现部署在一个未具名的乌克兰政府网络上。

斯洛伐克网络安全公司ESET称新的恶意软件为“IsaacWiper”，该公司称，该软件于2月24日在一个不受HermiticWiper（又名FoxBlade）影响的组织中被检测到。HermiticWiper是另一个数据擦除恶意软件，2月23日针对多个组织，是一次蓄意破坏行动的一部分，旨在使机器无法运行。

对至少五家乌克兰组织受到感染的HermiticWiper攻击进行了进一步分析，发现一个蠕虫成分在受损网络中传播恶意软件，以及一个勒索软件模块，该模块起到了“分散雨刷攻击注意力”的作用，证实了赛门铁克之前的一份报告。

该公司表示：“这些破坏性攻击至少利用了三个组件：用于擦除数据的HermiticWiper、用于在本地网络上传播的HermiticWizard，以及充当诱饵勒索软件的HermiticRansom。”。

俄罗斯网络安全公司卡巴斯基（Kaspersky）对新的Golang勒索软件进行了单独分析，将该恶意软件命名为“选举GoRansom”，将其描述为最后一刻的操作，并补充说，“由于其不复杂的风格和糟糕的实施，它可能被用作HermiticWiper攻击的烟幕。”

作为一种反取证措施，HermiticWiper还被设计为通过用随机字节覆盖自己的文件来从磁盘中删除自己，从而阻碍分析。

ESET表示，它没有发现将这些攻击归因于已知威胁行为体的“任何有形联系”，恶意软件工件意味着这些入侵已经计划了几个月，更不用说目标实体早在雨刷部署之前就受到了损害。

“这是基于几个事实：HeMeTimeWip PE编译时间戳，最老的是2021年12月28日；2021年4月13日的代码签署证书颁发日期；以及在至少一个实例中通过默认域策略部署HeMeigWink擦拭器，这表明攻击者已经预先访问了受害者的活动方向之一。ESET威胁研究主管Jean-Ian Boutin说。

同样未知的是用于部署两个刮水器的初始访问向量，尽管怀疑攻击者利用Impacket和远程访问软件RemCom等工具进行横向移动和恶意软件分发。

此外，IsaacWiper与HermiticWiper没有代码级别重叠，而且基本上不太复杂，即使它在继续执行文件擦除操作之前开始枚举所有物理和逻辑驱动器。

研究人员说：“2022年2月25日，攻击者丢弃了带有调试日志的新版iSacWiper。”。“这可能表明攻击者无法清除一些目标机器，并添加了日志消息以了解发生了什么。”