🪷 Lotus Wiper: уничтожение данных в атаке на энергетику
Исследователи Kaspersky GReAT описали новый вайпер, обнаруженный в цепочке атаки на энергетический сектор Венесуэлы.

⚙️
OhSyncNow.bat создаёт рабочую директорию в C:\lotus, отключает сервис UI0Detect и ожидает XML-триггер OHSync.xml в сетевой папке NETLOGON. Это сигнал одновременного запуска на всех машинах домена.

Интересненькие команды:

net user <имя> <случайный_пароль> /times:friday,01:00-02:00 /active:no
reg add "HKLM\...\Winlogon" /v CachedLogonsCount /t REG_SZ /d 0 /f
logoff <session_id>
netsh interface set interface "<имя>" DISABLE
(echo select volume=C & echo clean all) | diskpart
robocopy <пустая_папка> <цель> /MIR /B /r:0 /w:0
fsutil file createnew <путь> <размер_в_байтах>

Финальный payload маскируется под компоненты HCL Domino: nstats.exe, nevent.exe, ndesign.exe. Файл nevent.exe хранит XOR-зашифрованный вайпер, nstats.exe его расшифровывает, результат сохраняется в ndesign.exe - это и есть Lotus Wiper.

Работа вайпера:
- удаляет все точки восстановления через SRRemoveRestorePoint
- перезаписывает нулями каждый сектор физических дисков через DeviceIoControl
- очищает USN-журналы томов
- затирает файлы через FSCTL_SET_ZERO_DATA, переименовывает в случайный hex и удаляет через DeleteFileW / MoveFileExW

📌 Детекты: HEUR:Trojan.BAT.LotusWiper.gen, HEUR:Trojan.Win32.LotusWiper.gen
🔗 securelist.com/tr/lotus-wiper/119472
🦔THF