GigaWiper: модульный бэкдор для шпионажа и уничтожения данных

Согласно новому исследованию Microsoft, в октябре 2025 года начали фиксироваться инциденты с участием сложного модульного Golang backdoor, получившего имя GigaWiper. В отличие от традиционных wiper-программ, этот инструмент представляет собой операционную платформу, которая объединяет command and control (C2), data destruction и удалённый доступ в рамках единого malware-фреймворка.

Происхождение и архитектура

GigaWiper, по-видимому, консолидирует функциональность ранее созданных инструментов — ransomware Crucio и disk wiper FlockWiper — превращая их в значительно более мощную угрозу. Написанный на Golang backdoor поддерживает около 20 различных команд, разделённых на три ключевые категории: операции destruction, удалённый доступ с мониторингом и управление системой.

Деструктивные возможности

Злоумышленники могут применять несколько методов необратимого уничтожения данных. Среди них:

  • Primitive disk wiper — инструмент, перезаписывающий содержимое диска большими блоками и инициирующий принудительную перезагрузку.
  • Ransomware-уловка — имитация ransomware: файлы шифруются, после чего ключ шифрования намеренно отбрасывается, делая восстановление невозможным.
  • Windows secure disk wiper — утилита, нацеленная на системный диск и выполняющая многопроходную перезапись с использованием различных byte patterns.

Шпионаж и удалённое управление

Помимо разрушительного потенциала GigaWiper обладает развитыми шпионскими функциями. Он позволяет осуществлять захват экрана и полноценное VNC-подобное удалённое управление, а также собирать подробные system inventories. Функциональность remote control реализована через TCP server, который обеспечивает desktop streaming и контроль ввода после обхода защитных механизмов Windows Firewall.

Persistence и C2-инфраструктура

Для закрепления в системе GigaWiper создаёт scheduled task с именем «OneDrive Update», которая выполняется каждую минуту и при запуске системы. Связанные с этим malware C2-серверы идентифицированы по IP-адресам 185.182.193.21 и 212.8.248.104.

Рекомендации по обнаружению и предотвращению

Поскольку GigaWiper обычно проникает в инфраструктуру после первоначальной компрометации, критически важно блокировать начальные вторжения и непрерывно мониторить вредоносную активность, чтобы предотвратить выполнение деструктивных команд. При выявлении признаков заражения рекомендуется немедленно отключить устройство от сети, ограничив возможности злоумышленников.

Ключевые меры защиты:

  • Включить tamper protection в security software, чтобы исключить отключение защитных инструментов локальными администраторами или самим malware.
  • Настроить непрерывный мониторинг подключений к указанным IP-адресам C2, создания scheduled task «OneDrive Update» и несанкционированного отключения функций восстановления системы.
  • Своевременно rotate credentials для потенциально скомпрометированных учётных записей.
  • Анализировать журналы на предмет любых индикаторов privilege escalation и lateral movement внутри сети.

Средства защиты, такие как Malwarebytes, способны детектировать GigaWiper по сигнатурам Trojan.FlockWiper и backdoor.GigaWiper.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: