GigaWiper: модульный бэкдор для шпионажа и уничтожения данных
Согласно новому исследованию Microsoft, в октябре 2025 года начали фиксироваться инциденты с участием сложного модульного Golang backdoor, получившего имя GigaWiper. В отличие от традиционных wiper-программ, этот инструмент представляет собой операционную платформу, которая объединяет command and control (C2), data destruction и удалённый доступ в рамках единого malware-фреймворка.
Происхождение и архитектура
GigaWiper, по-видимому, консолидирует функциональность ранее созданных инструментов — ransomware Crucio и disk wiper FlockWiper — превращая их в значительно более мощную угрозу. Написанный на Golang backdoor поддерживает около 20 различных команд, разделённых на три ключевые категории: операции destruction, удалённый доступ с мониторингом и управление системой.
Деструктивные возможности
Злоумышленники могут применять несколько методов необратимого уничтожения данных. Среди них:
- Primitive disk wiper — инструмент, перезаписывающий содержимое диска большими блоками и инициирующий принудительную перезагрузку.
- Ransomware-уловка — имитация ransomware: файлы шифруются, после чего ключ шифрования намеренно отбрасывается, делая восстановление невозможным.
- Windows secure disk wiper — утилита, нацеленная на системный диск и выполняющая многопроходную перезапись с использованием различных byte patterns.
Шпионаж и удалённое управление
Помимо разрушительного потенциала GigaWiper обладает развитыми шпионскими функциями. Он позволяет осуществлять захват экрана и полноценное VNC-подобное удалённое управление, а также собирать подробные system inventories. Функциональность remote control реализована через TCP server, который обеспечивает desktop streaming и контроль ввода после обхода защитных механизмов Windows Firewall.
Persistence и C2-инфраструктура
Для закрепления в системе GigaWiper создаёт scheduled task с именем «OneDrive Update», которая выполняется каждую минуту и при запуске системы. Связанные с этим malware C2-серверы идентифицированы по IP-адресам 185.182.193.21 и 212.8.248.104.
Рекомендации по обнаружению и предотвращению
Поскольку GigaWiper обычно проникает в инфраструктуру после первоначальной компрометации, критически важно блокировать начальные вторжения и непрерывно мониторить вредоносную активность, чтобы предотвратить выполнение деструктивных команд. При выявлении признаков заражения рекомендуется немедленно отключить устройство от сети, ограничив возможности злоумышленников.
Ключевые меры защиты:
- Включить tamper protection в security software, чтобы исключить отключение защитных инструментов локальными администраторами или самим malware.
- Настроить непрерывный мониторинг подключений к указанным IP-адресам C2, создания scheduled task «OneDrive Update» и несанкционированного отключения функций восстановления системы.
- Своевременно rotate credentials для потенциально скомпрометированных учётных записей.
- Анализировать журналы на предмет любых индикаторов privilege escalation и lateral movement внутри сети.
Средства защиты, такие как Malwarebytes, способны детектировать GigaWiper по сигнатурам Trojan.FlockWiper и backdoor.GigaWiper.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



