Исследователи безопасности из ESET выявили новый вирус под названием SwiftSlicer, который использовался в недавних атаках на цели в Украине. SwiftSlicer нацелен на критически важные файлы операционной системы Windows и базы данных Active Directory (AD). Вирус уничтожает ресурсы операционной системы и выводит из строя домены Windows.
Исследователи идентифицировали вредоносное ПО SwiftSlicer во время кибератаки на украинские технологические магазины. Вредоносная программа была написана с использованием кроссплатформенного языка под названием Golang, более известного как Go, и атакует групповые политики Active Directory.
В объявлении Eset отмечается, что вредоносная программа идентифицирована как WinGo/Killfiles.C. При выполнении SwiftSlicer удаляет теневые копии и рекурсивно перезаписывает файлы, а затем перезагружает компьютер. Вирус перезаписывает данные, используя блоки длиной 4096 байт, состоящие из случайно сгенерированных байтов. Перезаписанные файлы обычно находятся по пути %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS и некоторых других несистемных ресурсах.
Аналитики связывают вредоносное ПО типа Wiper с хакерской группой Sandworm, которая обслуживает главное разведывательное управление генерального штаба (ГУ ГШ) и главный центр специальных технологий (ГЦСТ). Последняя атака напоминает недавние вспышки HermeticWiper и CaddyWiper, имевшие место во время российского вторжения. Особенности развертывания программы заставляют ESET полагать, что Sandworm могли получить контроль над средами Active Directory целей до начала атаки.
Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) недавно обнаружила еще одну комбинацию нескольких вредоносных пакетов для удаления данных, развернутых в сетях информационного агентства Укринформ. Вредоносные скрипты предназначались для систем Windows, Linux и FreeBSD и заражали их несколькими вирусами, включая CaddyWiper, ZeroWipe, SDelete, AwfulShred и BidSwipe.
По данным CERT-UA, атаки были успешными лишь частично. Один из вредоносных пакетов Sandworm, CaddyWiper, также был обнаружен в ходе неудавшейся атаки на одного из крупнейших украинских поставщиков электроэнергии в апреле 2022 года. Исследователи ESET помогли Украине отразить эту атаку, работая с CERT-UA над восстановлением и защитой сети.
Источник: TechSpot