Microsoft предупреждает защитников о новом бэкдоре, который размывает границу между шпионским вредоносным ПО и вайперами.
В техническом анализе, опубликованном в четверг, Microsoft Threat Intelligence подробно описывает GigaWiper, имплант на базе Golang, впервые зафиксированный в атаках октября 2025 года, который объединяет возможности удаленного администрирования с несколькими процедурами стирания дисков и ransomware.
Вместо того чтобы создавать новый разрушительный инструмент с нуля, злоумышленники собрали GigaWiper из нескольких существующих семейств вредоносного ПО, встроив их в модульные команды внутри одного бэкдора.
«GigaWiper особенно примечателен своим составом», сообщили исследователи Microsoft. «Объединение нескольких разрушительных возможностей в модульный бэкдор отражает заметный сдвиг в вредоносном ПО-вайпер, которое обычно предназначено исключительно для уничтожения, а не для вымогательства и реальных последствий».
Возможности вредоносного ПО бэкдора включали несколько логик стирания дисков, необратимое шифрование ransomware семейством Crucio, обеспечение устойчивости и коммуникацию на основе RabbitMQ и Redis.
Бэкдор для разрушения по требованию
По данным Microsoft, GigaWiper существует в двух формах. Один автономный вайпер и более крупный бэкдор, набор команд которого включает автономную функциональность стирания вместе с многочисленными административными возможностями.
Написанное на Go, вредоносное ПО поддерживает 20 команд-кодов, позволяющих операторам выполнять команды PowerShell, управлять службами и процессами Windows, манипулировать реестром, делать скриншоты, записывать дисплеи, очищать журналы событий и дистанционно управлять инфицированными системами через функциональность, похожую на VNC.
Устойчивость достигается через запланированную задачу под видом «Обновления OneDrive», в то время как управление и контроль (C2) полагается на RabbitMQ для получения инструкций и Redis для вывода результатов команд. Такая архитектура позволяет злоумышленникам незаметно поддерживать доступ и избирательно активировать разрушительную функциональность после достижения цели, добавили исследователи.
Бэкдор сочетает три семейства вредоносного ПО
Исследователи Microsoft обнаружили, что GigaWiper интегрирует деструктивный код из нескольких семейств вредоносного ПО вместо того, чтобы полагаться на единственный механизм стирания.
Эти интеграции проявляются в виде отдельных команд, которые поддерживает бэкдор.
Одна команда выполняет физическое стирание дисков путем перезаписывания приводов и удаления информации о разделах. Другая заимствует функциональность семейства Crucio, шифруя файлы с помощью случайно сгенерированных ключей, которые намеренно не сохраняются, что делает восстановление невозможным, несмотря на сходство с ransomware.
Третья команда воспроизводит функциональность FlockWiper, реализуя безопасное многоступенчатое стирание в Go для безвозвратного удаления данных на системах Windows.
«Мы связали GigaWiper с Crucio и FlockWiper на основе анализа кода, общего потока выполнения, имен функций и уникальных строк», — отметили исследователи. «Код Crucio стал основой для команды GigaWiper №3, а FlockWiper был переработан на Golang и обновлен для команды GigaWiper №12», отметили они, имея в виду 20 перечисленных команд, поддерживаемых бэкдором.
Автономный вайпер был реализован как команда №1 из списка.
Microsoft рекомендовала ужесточать защиту конечных точек и идентичностей, включать поведенческую детекцию и возможности EDR (endpoint detection and response), а также использовать средства снижения поверхности атаки для ограничения рисков компрометации.
Компания также призвала defenders поддерживать офлайн или иным образом устойчивые резервные копии, поскольку разрушительное ПО вроде GigaWiper предназначено для необратимого стирания или шифрования данных. Чтобы поддержать детекцию, исследователи поделились списком индикаторов компрометации (IOCs), в который вошли хэши файлов FlockWiper и Crucio и пара IP-адресов C2.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma




