新GigaWiper Windows后门捆绑磁盘擦除、伪勒索软件与间谍功能
导语:微软发布对新型破坏性 Windows 后门 GigaWiper 的拆解分析。该后门将磁盘全盘擦除、Windows 驱动器覆写和伪勒索软件三类破坏能力整合于同一二进制中,并兼带截图、屏幕录制与隐藏 VNC 等间谍功能;同一样本在另一厂商 Binary Defense 处以 BLUERABBIT 命名出现,两者哈希与命令服务器均匹配。代码层面的归属线索将该恶意软件关联至已知与伊朗伊斯兰革命卫队有关的 CyberAv3ngers 组织。
微软拆解了一个名为 GigaWiper 的破坏性 Windows 后门。其特别之处在于构建方式:并非单一工具,而是将三款旧有破坏性程序拼接为一个整体,以编号命令的形式供操作员选择使用。
每种命令都是一种不同的破坏机器方式:擦除整个磁盘、覆写 Windows 驱动器,或运行伪"勒索软件",用一把从不保存的密钥搅乱文件。由于这是恶意软件而非某个单一漏洞,没有可供修补的补丁可追;GigaWiper 是攻击者已经在系统内部之后才会运行的工具,这使得早期检测和干净、离线的备份成为真正的防御手段。
同一批恶意文件在第二份报告中以另一名称出现:BLUERABBIT,这是 Binary Defense 上个月标记的后门。微软为 GigaWiper 后门列出了四个哈希值;Binary Defense 为 BLUERABBIT 列出的是同样的四个哈希,并且两者的命令服务器也相互匹配。Binary Defense 引用 Google 威胁情报小组的分析,将该恶意软件关联到一个疑似伊朗背景、针对以色列组织的团伙。微软并未指明任何国家。
GigaWiper 使用 Go(也称为 Golang)编写,运行于 Windows 之上。它以编号形式接收命令,其中三条命令分别以不同方式毁坏机器:磁盘全盘擦除、Windows 驱动器覆写、伪勒索软件加密。这些方式中没有任何一条能为机器留下恢复路径——被加密的文件因密钥已丢失而无法解锁,被擦除的驱动器只能依靠干净备份进行重建。其目标是一台死机,而非赎金收益。
破坏只是该后门的一半能力。同一后门还可以静默监视并控制被感染的计算机:截取每个显示器的屏幕截图、记录用户操作时的屏幕画面,并能打开一个隐藏的 VNC 会话,将显示器画面实时流回,并允许攻击者键入内容和移动鼠标。它还收集系统详细信息、管理正在运行的程序和服务、编辑注册表,并能清除 Windows 事件日志以掩盖行踪。微软在所分析的样本中发现了更多处于休眠状态的命令,包括键盘记录器和其他擦除器的存根。
为保持隐蔽,GigaWiper 伪装成 OneDrive。它创建一个名为 OneDrive Update 的计划任务,每分钟运行一次,并在一个注册表项 HKCU\SOFTWARE\OneDrive\Environment 下追踪自身。当它打开远程控制通道时,会隐藏于一条以真实 Windows 组件 Microsoft.Windows.CloudExperienceHost 命名的防火墙规则之后。

在命令通信方面,它不使用普通的 Web 请求,而是搭乘真实的业务服务:RabbitMQ 用于任务下发,Redis 用于回传结果,MinIO 用于数据外泄。由于这些都是合法工具而非定制恶意软件通道,其流量在使用这些工具的网络中看起来平平无奇。
微软将 GigaWiper 的伪勒索软件代码追溯至 Crucio,将其中的多轮覆写擦除模块追溯至 FlockWiper,并评估认为三者由同一开发者编写。其报告未指明任何国家。但 Crucio 并非无名之辈:其代码曾作为疑似勒索软件,被列入 CISA 于 2023 年 12 月发布的关于 CyberAv3ngers(一个与伊朗伊斯兰革命卫队有关联的组织)的公告中。
THN 此前曾报道,CyberAv3ngers 就是 2023 年攻破美国、以色列、英国和爱尔兰境内多处水利和能源设施、登录互联网暴露的工业控制器的同一组织。在其中一个案例中,他们控制了一家宾夕法尼亚州水利局的增压站。微软引用的 Crucio 样本带有与该公告中所列样本相同的指纹。微软还在 FlockWiper 的调试路径以及 GigaWiper 自身的函数名中发现了反复出现的标记"GRAT",将两件工具串联起来,并暗示还有一个尚未曝光的组件。各方时间线存在差异:微软将破坏活动日期定为 2025 年 10 月,而 Binary Defense 最早在 2026 年 3 月将同一组文件以 BLUERABBIT 名称发现。
针对以色列的、疑似与伊朗有关的擦除活动在 2025 至 2026 年间多次拉响警报。Palo Alto Networks 的 Unit 42 也追踪到一波平行的活动激增,其中大部分来自另一个团伙 Handala Hack;2026 年 3 月,以色列国家网络总监署针对针对本地组织的伊朗擦除攻击发出警告。
GigaWiper 所采用的战术并不新鲜:2017 年的 NotPetya 也以勒索软件作为伪装静默销毁数据。这种伪装为攻击者争取了时间:一台被摧毁的机器最初看上去像是一起可能可恢复的勒索事件,而非实际意义上的全损事故。微软将 GigaWiper 定位为操作员将多件独立工具折叠进同一灵活平台的结果。对防御者而言,这一结论具体可感:当一枚植入物既能监视、窃取,又能销毁时,工具本身已不再透露意图。过往以恶意软件反推攻击目的的方法,在此处已不再适用——意图由操作员在已经进入系统之后才做出决定。一个平台、两个厂商名称,以及代码中仍处于休眠状态的命令存根,都指向一款仍在持续构建中的工具。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-gigawiper-windows-backdoor-bundles.html
作者:info@thehackernews.com (The Hacker News)

