2025年,乌克兰再次成为网络攻击的焦点,一种名为PathWiper的新型数据擦除恶意软件对其关键基础设施展开了破坏性攻击。根据Cisco Talos的最新分析,该恶意软件展现了前所未见的破坏力和隐蔽性,反映出攻击者高度成熟的作战能力和复杂的攻击手段。PathWiper通过合法的终端管理框架渗透乌克兰关键基础设施网络,这种方式表明攻击者不仅拥有管理员控制台的访问权限,还能利用真实管理工具发出恶意命令并将恶意软件部署至全网终端。此种“合法-恶意相结合”的攻击方式极大地提升了攻击隐蔽性,绕过了传统防御手段,使受害者难以察觉和及时响应。Talos研究人员指出,攻击命令通过批处理(BAT)文件执行,驱动恶意Visual Basic脚本(uacinstall.vbs)运行并释放伪装成“sha256sum.exe”的擦除机器人。PathWiper以Windows TEMP目录为落脚点,利用批处理脚本精确操纵目标文件系统,体现其设计上的针对性和专业性。
其破坏机制主要针对磁盘驱动器的主引导记录(MBR)、NTFS元数据以及日志文件等关键系统存储结构,覆盖了$MFT、$MFTMirr、$LogFile、$Boot、$Bitmap、$TxfLog、$Tops及$AttrDef等关键文件。通过多线程并发执行,PathWiper能同时覆盖接入系统的存储介质及网络共享路径,确保文件系统受到深度且全面的破坏。该数据擦除技术依赖覆盖随机字节,确保数据无法恢复或回溯,极大地阻碍了事后取证和数据恢复工作。此外,PathWiper尝试卸载目标卷,使遭遇破坏的系统更难以重新挂载和访问。技术分析显示,PathWiper在设计理念和功能细节上与2024年首次大规模出现的HermeticWiper有诸多相似之处。HermeticWiper也以破坏MBR和NTFS关键结构著称,其攻击源自被称为Sandworm的俄罗斯关联APT组织。
尽管二者在数据覆盖策略有所差异,PathWiper的出现揭示了破坏性恶意软件正持续演进,并被用于针对乌克兰关键设施发动新一轮攻击。这不只是单一恶意软件更新换代,更是敌对势力持续利用网络战手段施压乌克兰的信息战体现。另一方面,俄罗斯本土网络安全公司BI.ZONE报告了名为Silent Werewolf的攻击集团针对俄罗斯和摩尔多瓦关键行业发起的最新网络入侵行动。攻击初始点多为内含恶意LNK文件和多层压缩的钓鱼邮件,最终通过DLL侧载技术及C#载荷实现复杂链条式的恶意代码植入。Silent Werewolf的作案手法引入了大型语言模型(Large Language Model, LLM)如Llama 2来规避沙箱检测,展现其对新兴AI技术的融合运用,让网络安全防御面临更严峻挑战。值得注意的是,Silent Werewolf对于高价值目标采取精密筛选策略,可能只有通过系统“符合条件”的目标才会加载后续实际恶意载荷,此举大幅降低攻击暴露风险。
与此同时,一支名为BO Team的亲乌克兰黑客组织针对俄罗斯国有企业的网络攻击也引起了安全界关注。该组织自2024年始活跃,通过钓鱼邮件、后利用框架(如Mythic及Cobalt Strike)以及远程控制和隧道技术,实施渗透和破坏。BO Team不仅利用暗门和远控木马,还会删除备份数据,执行文件擦除,并采用Babuk勒索软件进行敲诈勒索,手段多样且具破坏性。BO Team在攻击过程中常使用伪装成系统关键文件的恶意组件,以规避检测。他们还擅长横向移动,利用RDP与SSH实现跨平台渗透,充分展示了其威胁的全方位性。高级APT、黑客团体及供应链攻击不断演进,使得乌克兰的关键基础设施面临愈发严峻的网络安全环境。
PathWiper等新型数据擦除恶意软件的流行是数字时代网络战的典型案例,反映出敌对国家利用网络攻击破坏对手基础设施和信息系统的战略意图。全球安全界对这些攻击的发展趋势高度关注,认为迫切需要提升终端防御能力、实施多层次检测机制及加强威胁情报交流。PathWiper事件警示各国不仅要重视传统安全威胁,更应关注复杂高级持续威胁组织利用合法工具隐藏攻击行为的方式。可见,未来网络安全战场将更多集中于如何识别并拦截精心伪装的攻击流量,以及提升应急响应和数据恢复的能力。乌克兰关键基础设施遭受的持续攻击为全球网络安全提供了深刻经验,强调防御不仅仅是技术问题,更关系到国家安全和社会稳定。此外,Silent Werewolf与BO Team展现了不同立场黑客组织的活跃态势和攻击多样性,也揭示了网络空间日益复杂的对抗局面。
应对之策需整合技术创新、国际合作与法律监管,构筑多维度安全防护体系。总结来看,2025年PathWiper数据擦除恶意软件攻击事件不仅是乌克兰网络空间遭受的重大打击,更是全球关于网络战威胁的警钟。其高超的攻击技术和隐蔽手法为安全业界敲响警钟,促使相关各方积极审视和构建更具韧性的网络防御体系。只有通过全球合作、多层防护策略及前瞻性威胁情报,才能有效抵御未来愈发复杂的高级网络攻击威胁,保障国家关键信息基础设施的安全与稳定。
