乌克兰 CERT-UA 继续观察针对乌克兰组织的基于恶意软件的攻击,在最近的警报中警告使用名为 DoubleZero 的擦除器进行的攻击
政府 CERT 于 2022 年 3 月 17 日开始观察此活动,威胁行为者使用恶意软件发起鱼叉式网络钓鱼攻击
该档案包含一个模糊的 .NET 程序,专家将其跟踪为 DoubleZero,分析显示它是为了破坏受感染的系统而开发的。
“2022 年 3 月 17 日,应对乌克兰计算机紧急情况的政府团队 CERT-UA 发现了多个 ZIP 档案,其中一个被称为“病毒……极其危险!!!”。压缩”。”阅读CERT-UA 发布的公告。“作为分析的结果,被识别的程序被归类为 DoubleZero——一种使用 C# 编程语言开发的恶意破坏程序。”
DoubleZero 擦除文件使用两种技术,用 4096 字节的零块覆盖其内容(使用 FileStream.Write)或使用 API 调用 NtFileOpen、NtFsControlFile(代码:FSCTL_SET_ZERO_DATA)。
恶意软件会在关闭受感染的系统之前删除以下 Windows 注册表 HKCU、HKU、HKLM、HKLM \ BCD。
“该活动由 UAC-0088 标识符跟踪,与试图违反乌克兰企业信息系统正常运作模式的企图直接相关。” 结束警报,该警报还报告妥协指标 (IoC)。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
