Дослідники безпеки з ESET виявили новий вірус під назвою SwiftSlicer, який використовувався у недавніх атаках на цілі в Україні. SwiftSlicer орієнтований на критично важливі файли операційної системи Windows та бази даних Active Directory (AD). Вірус знищує ресурси операційної системи та виводить з ладу домени Windows.
Дослідники ідентифікували шкідливе програмне забезпечення SwiftSlicer під час кібератаки на українські технологічні магазини. Шкідлива програма була написана з використанням кросплатформної мови під назвою Golang, більш відомої як Go, і атакує групові політики Active Directory.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
В оголошенні Eset зазначається, що шкідлива програма ідентифікована WinGo/Killfiles.C. Під час виконання SwiftSlicer видаляє тіньові копії та рекурсивно перезаписує файли, а потім перезавантажує комп’ютер. Вірус перезаписує дані, використовуючи блоки довжиною 4096 байтів, що складаються із випадково згенерованих даних. Перезаписані файли зазвичай знаходяться за шляхом %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS та у деяких інших несистемних ресурсах.
Аналітики пов’язують шкідливе програмне забезпечення типу Wiper з хакерською групою Sandworm, яка обслуговує головне розвідувальне управління генерального штабу (ГУ ГШ) та головний центр спеціальних технологій (ГЦСТ). Остання атака нагадує нещодавні спалахи HermeticWiper та CaddyWiper, що мали місце під час російського вторгнення. Особливості розгортання програми змушують ESET вважати, що Sandworm міг отримати контроль над середовищами Active Directory цілей до початку атаки.
Українська група реагування на комп’ютерні надзвичайні ситуації (CERT-UA) нещодавно виявила ще одну комбінацію кількох шкідливих пакетів для видалення даних, які розгорнуті в мережах інформаційного агентства Укрінформ. Шкідливі скрипти призначалися для Windows, Linux і FreeBSD і заражали їх кількома вірусами, включаючи CaddyWiper, ZeroWipe, SDelete, AwfulShred і BidSwipe.
UPDATE: UAC-0082 (suspected #Sandworm) to target Ukrinform using 5 variants of destructive software: CaddyWiper, ZeroWipe, SDelete, AwfulShred, BidSwipe.
Details: https://t.co/vFIiRvXm0u (UA only)
— CERT-UA (@_CERT_UA) January 27, 2023
За даними CERT-UA, атаки були успішними лише частково. Один зі шкідливих пакетів Sandworm, CaddyWiper, також був виявлений у ході невдалої атаки на одного з найбільших українських постачальників електроенергії у квітні 2022 року. Дослідники ESET допомогли Україні відбити цю атаку, працюючи з CERT-UA над відновленням та захистом мережі.
Джерело: TechSpot