【安全圈】新型Lotus数据擦除器被用于攻击委内瑞拉能源和公用事业公司

admin
admin
admin
0
文章
0
评论
2026-04-23 04:57:41 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 卡巴斯基报告披露新型Lotus数据擦除恶意软件于2025年12月被用于攻击委内瑞拉能源和公用事业公司。该恶意软件通过批处理脚本禁用系统防御、覆盖物理驱动器、清除恢复机制,最终使系统无法恢复。攻击活动与当地地缘政治紧张局势相关。报告建议监控NETLOGON共享更改、账户异常操作等前兆活动,并保持定期离线备份以应对此类威胁。 综合评分: 85 文章分类: 恶意软件,威胁情报,漏洞分析,安全运营,解决方案

cover_image

【安全圈】新型 Lotus 数据擦除器被用于攻击委内瑞拉能源和公用事业公司

安全圈

2026年4月22日 19:02 江苏

在小说阅读器读本章

去阅读

关键词

网络攻击

一款此前未被记录、名为Lotus的数据擦除恶意软件,在去年被用于针对委内瑞拉能源和公用事业组织的定向攻击。

该恶意软件于去年12月中旬从委内瑞拉的一台机器上传至一个公共平台,并已被卡巴斯基的研究人员分析。

在破坏阶段之前,攻击者依赖两个批处理脚本,通过削弱防御和阻碍正常运作为最终载荷准备系统。

研究人员称,Lotus数据擦除恶意软件旨在通过覆盖物理驱动器并消除恢复选项,彻底摧毁受感染系统。

卡巴斯基在今日的一份报告中表示:”该擦除器会移除恢复机制、覆盖物理驱动器内容、系统性地删除受影响卷上的文件,最终使系统处于无法恢复的状态。”

考虑到时间点,观察到的活动与当时该地区的地缘政治紧张局势相吻合,该局势在2026年1月3日委内瑞拉时任总统尼古拉斯·马杜罗被捕时达到顶峰。

2025年12月中旬左右,委内瑞拉国家石油公司遭遇网络攻击,致使其交付系统瘫痪。该公司指责美国应对此事件负责。

需要指出的是,目前没有公开证据表明PDVSA的系统在此次攻击中被擦除,也没有关于此次攻击性质的详细信息。

初步活动

卡巴斯基的报告指出,攻击始于执行一个批处理脚本(OhSyncNow.bat),该脚本会禁用Windows的‘UI0Detect’服务,并执行XML文件检查以协调域内系统的执行。

当满足特定条件时,会执行第二阶段的脚本(notesreg.bat)。它会枚举用户、通过更改密码禁用账户、注销活动会话、禁用所有网络接口并停用缓存的登录信息。

随后,恶意代码会枚举驱动器并运行‘diskpart clean all’命令,用零覆盖它们。卡巴斯基还发现,它使用‘robocopy’覆盖目录内容。

在下一阶段,它会计算可用空间并使用‘fsutil’创建一个填满磁盘的文件,使得被擦除的数据更难恢复。

在为数据销毁准备好环境并自行执行一些擦除操作后,该批处理脚本会解密并执行Lotus擦除器作为最终载荷。

Lotus擦除器的部署

Lotus擦除器在更底层运行,通过IOCTL调用与磁盘交互,检索磁盘几何结构、清除USN日志条目、擦除还原点,并覆盖物理扇区(而不仅仅是逻辑卷)。

该恶意软件执行多项操作,总结如下:

  • 在其令牌中启用所有权限,以获得管理员级别的访问权限。
  • 使用Windows系统还原API删除所有Windows还原点。
  • 通过检索磁盘几何结构并用零覆盖所有扇区来擦除物理驱动器。
  • 清除USN日志以移除文件系统活动的痕迹。
  • 通过将文件内容置零、随机重命名并删除它们(或如果被锁定则安排在重启时删除)来删除文件。
  • 多次重复驱动器擦除和还原点删除的循环。
  • 在最终擦除后,使用IOCTL_DISK_UPDATE_PROPERTIES更新磁盘属性。

卡巴斯基建议,系统管理员应监控NETLOGON共享更改、UI0Detect操作、大规模账户更改以及网络接口禁用等前兆活动。

他们表示,‘diskpart’、‘robocopy’和‘fsutil’的意外使用也是危险信号。

针对擦除器和勒索软件的一般性建议是,保持定期离线备份,并经常验证其可恢复性。

END

阅读推荐

【安全圈】航旅纵横崩了!

【安全圈】美国精工网站遭篡改,黑客称窃取客户数据

【安全圈】Anthropic MCP 设计漏洞可致远程代码执行,威胁人工智能供应链

【安全圈】情报显示,一起价值 1374 万美元的黑客攻击导致受制裁的 Grinex 交易所关闭

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】新型 Lotus 数据擦除器被用于攻击委内瑞拉能源和公用事业公司》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
订单总额验证绕过漏洞 网络安全文章

订单总额验证绕过漏洞

文章总结: 本文详细描述了电商网站订单总额验证绕过漏洞的利用流程,攻击者通过拦截并篡改提交订单的请求数据包,将优惠参数注入到不满足优惠条件的数据包中,从而以不应
04-230 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0