Исследователи безопасности из ESET выявили новый вирус под названием SwiftSlicer, который использовался в недавних атаках на цели в Украине. SwiftSlicer нацелен на критически важные файлы операционной системы Windows и базы данных Active Directory (AD). Вирус уничтожает ресурсы операционной системы и выводит из строя домены Windows.
Исследователи идентифицировали вредоносное ПО SwiftSlicer во время кибератаки на украинские технологические магазины. Вредоносная программа была написана с использованием кроссплатформенного языка под названием Golang, более известного как Go, и атакует групповые политики Active Directory.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
В объявлении Eset отмечается, что вредоносная программа идентифицирована как WinGo/Killfiles.C. При выполнении SwiftSlicer удаляет теневые копии и рекурсивно перезаписывает файлы, а затем перезагружает компьютер. Вирус перезаписывает данные, используя блоки длиной 4096 байт, состоящие из случайно сгенерированных байтов. Перезаписанные файлы обычно находятся по пути %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS и некоторых других несистемных ресурсах.
Аналитики связывают вредоносное ПО типа Wiper с хакерской группой Sandworm, которая обслуживает главное разведывательное управление генерального штаба (ГУ ГШ) и главный центр специальных технологий (ГЦСТ). Последняя атака напоминает недавние вспышки HermeticWiper и CaddyWiper, имевшие место во время российского вторжения. Особенности развертывания программы заставляют ESET полагать, что Sandworm могли получить контроль над средами Active Directory целей до начала атаки.
Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) недавно обнаружила еще одну комбинацию нескольких вредоносных пакетов для удаления данных, развернутых в сетях информационного агентства Укринформ. Вредоносные скрипты предназначались для систем Windows, Linux и FreeBSD и заражали их несколькими вирусами, включая CaddyWiper, ZeroWipe, SDelete, AwfulShred и BidSwipe.
UPDATE: UAC-0082 (suspected #Sandworm) to target Ukrinform using 5 variants of destructive software: CaddyWiper, ZeroWipe, SDelete, AwfulShred, BidSwipe.
Details: https://t.co/vFIiRvXm0u (UA only)
— CERT-UA (@_CERT_UA) January 27, 2023
По данным CERT-UA, атаки были успешными лишь частично. Один из вредоносных пакетов Sandworm, CaddyWiper, также был обнаружен в ходе неудавшейся атаки на одного из крупнейших украинских поставщиков электроэнергии в апреле 2022 года. Исследователи ESET помогли Украине отразить эту атаку, работая с CERT-UA над восстановлением и защитой сети.
Источник: TechSpot