详细内容或原文请订阅后点击阅览
GigaWiper 将三个恶意软件系列合并为一个破坏性后门
Microsoft 发现了 GigaWiper,这是一个模块化的 Go 后门,将三个恶意软件系列与间谍、远程控制和破坏性擦除功能结合在一起。 2025 年 10 月,微软的威胁情报团队发现了受感染环境中的破坏性擦除活动,并将其追溯到一种以前未知的恶意软件,他们现在将其称为 GigaWiper。恶意代码是用Go编写的,它[...]
来源:Security Affairs _恶意软件GigaWiper 将三个恶意软件系列合并为一个破坏性后门
Microsoft 发现了 GigaWiper,这是一个模块化的 Go 后门,将三个恶意软件系列与间谍、远程控制和破坏性擦除功能结合在一起。
2025 年 10 月,微软的威胁情报团队发现了受感染环境中的破坏性擦除活动,并将其追溯到一种以前未知的恶意软件,他们现在将其称为 GigaWiper。该恶意代码是用 Go 编写的,它将命令和控制后门与多种内置破坏功能相结合,并且通过从至少三个较旧的恶意软件家族中获取代码并将它们合并到一个植入程序中来组装。如果攻击者的目的是破坏目标系统,则效率很高。
“将多种破坏性功能整合到模块化后门中反映了擦除器恶意软件的显着转变,这些恶意软件通常纯粹是为了破坏而不是勒索和带来现实世界的后果。”阅读微软发布的报告。 “GigaWiper 体现了威胁行为者对运营效率的投资,将独立工具合并到统一平台中,从而减少了部署足迹,同时扩大了破坏能力。”
后门通过 RabbitMQ 与其操作员通信以接收命令,并通过 Redis 发送回结果。它通过名为“OneDrive Update”的计划任务持续存在,该任务每分钟运行一次并在系统启动时运行,并在伪装成 OneDrive 条目的注册表项中跟踪其自身的执行计数。命令集从 1 到 20 个,涵盖单个植入物的异常广泛的功能。
研究人员指出,没有勒索信,也无法恢复文件,因为攻击者从未打算提供解密服务。命令 12 仅对 Windows 安装驱动器执行更彻底的多遍擦除,在多遍中用零、0xFF 值和随机字节覆盖它。
皮尔路易吉·帕格尼尼
(安全事务 - 黑客攻击、恶意软件)
