# Lotus Wiperがベネズエラのエネルギーセクターを標的とした破壊的なサイバーキャンペーンを展開  サイバーセキュリティ研究者たちは、これまで知られていなかったデータワイパー「**Lotus Wiper**」を発見しました。これは、2025年末から2026年初頭にかけてベネズエラを標的とした攻撃で展開されたものです。 ## 破壊的キャンペーンの詳細 **Kaspersky**の調査結果によると、この新しいファイルワイパーは、ベネズエラのエネルギー・公益事業セクターを狙った破壊的なキャンペーンで使用されていました。攻撃に金銭的な動機は見られないようです。 「攻撃の破壊フェーズを開始し、ワイパーペイロードを実行するための環境を準備するのは2つのバッチスクリプトの役割です」と、ロシアのサイバーセキュリティベンダーは述べています。「これらのスクリプトは、ネットワーク全体でのオペレーションの開始を調整し、システム防御を弱め、未知のワイパーを取得、難読化解除、実行する前に通常のオペレーションを妨害します。」 展開されると、ワイパーは復旧メカニズムを消去し、物理ドライブの内容を上書きし、影響を受けたボリューム全体でファイルを体系的に削除して、システムを動作不能にします。 ## タイミングと潜在的な地政学的文脈 注目すべきは、このワイパーが2025年12月中旬にベネズエラ国内のコンピューターから公開プラットフォームにアップロードされたことです。これは、2026年初頭の米国による同国への軍事行動の数週間前でした。サンプルは2025年9月下旬にコンパイルされています。直接的な関連性は確認されていませんが、**Kaspersky**は、アップロードが「同じセクターと地域を標的としたマルウェア活動の報告が増加した期間中に」行われたことを指摘しており、高度に標的化された攻撃を示唆しています。 ## 攻撃チェーン分析 攻撃は、ワイパーペイロードを展開するための多段階シーケンスをトリガーするバッチスクリプトから始まります。スクリプトは、バックグラウンドサービスがグラフィカルインターフェイスを表示しようとしたときにユーザーに警告するように設計された**Windows** Interactive Services Detection (UI0Detect) サービスを停止しようとします。UI0Detectの存在は、スクリプトが**Windows** 10バージョン1803より前のバージョンを実行しているシステムを標的としていることを示唆しています。 スクリプトはNETLOGON共有をチェックし、リモートXMLファイルにアクセスします。その後、対応するローカルファイルが存在するかどうかを確認した後、2番目のバッチスクリプトを実行します。 「ローカルチェックは、おそらくマシンが**Active Directory**ドメインの一部であるかどうかを判断しようとしています」と**Kaspersky**は説明しています。「リモートファイルが見つからない場合、スクリプトは終了します。NETLOGON共有が最初に到達できない場合、スクリプトはリモートチェックを再試行する前に最大20分間のランダム遅延を導入します。」 ## ワイパーの機能 2番目のバッチスクリプトは、ローカルユーザーアカウントを列挙し、キャッシュされたログインを無効にし、アクティブなセッションをログオフし、ネットワークインターフェイスを無効にし、特定されたすべての論理ドライブをワイプするために`diskpart clean all`コマンドを実行します。また、`robocopy`を使用してフォルダーを再帰的にミラーリングまたは削除し、利用可能な空き容量を計算し、`fsutil`を使用してドライブ全体を埋めるファイルを作成します。 環境を準備した後、**Lotus Wiper**は復元ポイントを削除し、物理セクターをゼロで上書きし、ボリュームジャーナルの更新シーケンス番号（USN）をクリアし、マウントされた各ボリュームのすべてのシステムファイルを消去します。 ## 緩和戦略 組織は、NETLOGON共有の変更、資格情報ダンプまたは権限昇格アクティビティ、および破壊的なアクションのための`fsutil`、`robocopy`、`diskpart`などのネイティブ**Windows**ユーティリティの使用を監視することが推奨されます。 **Kaspersky**は、ワイパーが古い**Windows**バージョンを標的としていることを考慮すると、攻撃者は攻撃のはるか前に環境に関する事前知識を持っており、ドメインを侵害していた可能性が高いと示唆しています。