Lotus Wiper là một mối đe dọa phá hủy dữ liệu mới được phát hiện, được sử dụng trong một cuộc tấn công mạng có chủ đích nhằm vào ngành năng lượng và tiện ích. Đây không phải mã độc ransomware vì không có yêu cầu chuộc tiền, cũng không khóa tệp để đòi thanh toán. Thay vào đó, Lotus Wiper xóa dữ liệu vĩnh viễn, ghi đè toàn bộ ổ đĩa và khiến hệ thống gần như không thể khôi phục.
Phân tích Lotus Wiper trong tin tức bảo mật mới nhất
Phân tích mẫu cho thấy các tạo phẩm liên quan đến chiến dịch này được tải lên từ một máy tại Venezuela vào giữa tháng 12/2025, trong khi mã độc được biên dịch vào cuối tháng 9/2025. Điều này cho thấy tác nhân đã chuẩn bị trong nhiều tháng trước khi triển khai hành vi phá hoại.
Nghiên cứu của Securelist đã xác định các tạo phẩm độc hại này trong quá trình hunting và phân loại mẫu. Xem thêm tại nguồn phân tích gốc: Securelist – Lotus Wiper.
Điểm khác biệt so với ransomware
Lotus Wiper không để lại thông điệp tống tiền và không có cơ chế khôi phục dữ liệu. Mục tiêu của nó là destroy data thay vì kiếm lợi nhuận. Mẫu mã độc này ghi đè dữ liệu, xóa tệp, vô hiệu hóa cơ chế phục hồi và làm hỏng khả năng khởi động lại hệ thống sau sự cố.
Những dấu hiệu trong mã còn cho thấy mục tiêu bị nhắm đến là một tổ chức trong lĩnh vực năng lượng và tiện ích. Không có chỉ dấu extortion nào trong code, củng cố nhận định rằng đây là chiến dịch phá hoại thuần túy.
Chuỗi tấn công và hành vi của Lotus Wiper
Chuỗi thực thi bắt đầu bằng batch script OhSyncNow.bat, đóng vai trò entry point cho toàn bộ quá trình phá hoại. Script này xác định thư mục làm việc mục tiêu, thường là C:\lotus, sau đó cố gắng vô hiệu hóa dịch vụ UI0Detect trên Windows.
UI0Detect là dịch vụ Interactive Services Detection; việc tắt dịch vụ này giúp giảm khả năng người dùng nhận cảnh báo về hoạt động nền bất thường. Dấu hiệu sử dụng dịch vụ này cũng cho thấy chiến dịch nhắm vào hệ thống cũ, nơi thành phần đó vẫn còn tồn tại.
Cơ chế kích hoạt qua chia sẻ NETLOGON
Script tiếp theo kiểm tra tệp XML từ xa có tên OHSync.xml trên chia sẻ NETLOGON của domain. Đây là cơ chế kích hoạt qua mạng: khi tệp xuất hiện, nó đóng vai trò tín hiệu để bắt đầu thực thi trên các máy trong domain.
Nếu tệp được phát hiện, batch script thứ hai notesreg.bat sẽ chạy và chỉ thực thi một lần. Script này liệt kê tài khoản người dùng cục bộ, thay đổi mật khẩu sang chuỗi ngẫu nhiên, đánh dấu tài khoản không hoạt động, vô hiệu hóa cached logins, đăng xuất phiên đang mở và tắt toàn bộ giao diện mạng bằng netsh.
Tiếp đó, nó chạy diskpart clean all trên mọi ổ logic, ghi đè toàn bộ nội dung đĩa bằng số 0.
Kỹ thuật phá hủy dữ liệu của Lotus Wiper
Sau giai đoạn chuẩn bị, payload chính của Lotus Wiper được giải mã bằng XOR rồi thực thi. Khi hoạt động, nó leo thang đặc quyền quản trị, xóa toàn bộ Windows System Restore points bằng cách lạm dụng API từ srclient.dll, sau đó ghi đầy sector ổ đĩa bằng các lệnh IOCTL cấp thấp.
Mã độc cũng dùng fsutil để tạo tệp chiếm toàn bộ dung lượng trống, làm cạn kiệt storage còn lại. Sau đó, các tệp bị ghi zero bằng FSCTL_SET_ZERO_DATA, đổi tên bằng chuỗi hex ngẫu nhiên và bị xóa.
Nếu một tệp đang được sử dụng và chưa thể xóa ngay, MoveFileExW sẽ được dùng để lên lịch xóa ở lần khởi động lại tiếp theo.
Ảnh hưởng hệ thống
- Ghi đè ổ đĩa bằng số 0 trên toàn bộ phân vùng bị ảnh hưởng.
- Xóa tệp và đổi tên ngẫu nhiên để làm gián đoạn truy vết.
- Vô hiệu hóa phục hồi bằng cách xóa System Restore points.
- Chiếm hết dung lượng trống để ngăn hoạt động bình thường của hệ thống.
- Ngắt kết nối mạng nhằm giảm khả năng điều phối và khôi phục.
Tối thiểu hóa rủi ro bảo mật trước mối đe dọa phá hoại
Với dạng mối đe dọa này, trọng tâm không phải phát hiện hành vi mã hóa mà là phát hiện chuỗi phá hoại dữ liệu, xóa backup, và lạm dụng công cụ hợp pháp của Windows. Các hệ thống giám sát cần chú ý đến hoạt động bất thường của fsutil, robocopy và diskpart, vì đây là các tiện ích tích hợp thường bị lạm dụng để né cảnh báo an ninh mạng truyền thống.
Kiểm tra kỹ quyền truy cập và hoạt động tệp trên các domain share, đặc biệt là NETLOGON. Đồng thời rà soát log bảo mật để phát hiện dấu hiệu lạm dụng credential, thao túng token hoặc hành vi leo thang đặc quyền.
Thiết lập sao lưu an toàn và thường xuyên kiểm thử quy trình khôi phục dữ liệu. Với các cuộc tấn công phá hoại như Lotus Wiper, khả năng phục hồi là yếu tố quyết định để giảm thiểu thiệt hại sau sự cố.
IOC của Lotus Wiper
- Tên mã độc: Lotus Wiper
- Batch script: OhSyncNow.bat
- Batch script: notesreg.bat
- Tệp kích hoạt: OHSync.xml
- Thư mục làm việc mục tiêu: C:\lotus
- File ngụy trang: nstats.exe
- File ngụy trang: nevent.exe
- File ngụy trang: ndesign.exe
- Tiện ích bị lạm dụng: netsh, diskpart, fsutil, MoveFileExW
Chuỗi hành vi kỹ thuật liên quan đến cảnh báo CVE và phát hiện xâm nhập
Mặc dù nội dung này không đề cập đến lỗ hổng CVE cụ thể, chiến dịch cho thấy dấu hiệu xâm nhập trước đó và staging payload trên máy nạn nhân. Các tệp giả mạo như thành phần ứng dụng HCL Domino, gồm nstats.exe, nevent.exe và ndesign.exe, được thiết kế để hòa lẫn với hoạt động hệ thống bình thường.
Điều đó cho thấy tiến trình khai thác ban đầu đã xảy ra trước khi wiper được kích hoạt. Trong bối cảnh phát hiện xâm nhập, cần theo dõi cả hành vi tiền thực thi, thay đổi trên domain share, và các dấu hiệu chuẩn bị cho hành vi phá hủy dữ liệu quy mô lớn.
Nếu cần đối chiếu thông tin kỹ thuật về các mẫu và chiến dịch wiper tương tự, có thể tra cứu thêm tại NVD và các advisory bảo mật liên quan.
netsh interface set interface "Ethernet" admin=disable
diskpart /s cleanall.txt
fsutil file createnew C:\temp\fill.bin 1073741824
