【安全资讯】WhisperGate和NotPetya恶意软件存在相似之处

引言

1月13日，微软在针对乌克兰的大规模攻击活动中检测到一种新型破坏性恶意软件“WhisperGate”，并将攻击活动作为 DEV-0586 进行跟踪。1月21日，研究人员发布报告称，WhisperGate恶意软件与 2017 年攻击乌克兰实体的NotPetya 擦除器有一些相似之处，但WhisperGate具有更多恶意组件。

简况

WhisperGate恶意软件伪装成勒索软件，但其攻击目标不是为了经济获益，而是为了破坏受害者数据。攻击者在活动中使用了被盗凭据，并且在渗透发生前几个月就可以访问一些受害者网络，这是复杂 APT 攻击的典型特征。

WhisperGate 感染链被设计成一个多阶段过程，首先在第一阶段下载一个擦除MBR（主引导记录）的有效负载。感染链的第二阶段是下载程序，下载托管在 Discord 服务器上的恶意 DLL 文件，用作感染链的第三阶段。感染链的第三阶段是一个用 C# 编写并使用 Eazfuscator 混淆的 DLL，用受感染主机上的固定数据覆盖其内容，从而不可撤销地破坏文件。擦除器只擦除以下特定文件扩展名：

研究人员表示，WhisperGate 与2017 年攻击乌克兰实体的臭名昭著的 NotPetya 擦除器有一些相似之处，包括伪装成勒索软件以及针对和破坏主引导记录 (MBR) 而不是对其进行加密，但WhisperGate明显具有更多旨在造成额外损害的组件。