SwiftSlicer

Ukraina on äskettäin joutunut uuden kyberhyökkäyksen kohteeksi Venäjältä, jossa käytettiin tuntematonta Golangin kielellä kirjoitettua tiedonpyyhkijää nimeltä SwiftSlicer. Hyökkäyksen uskotaan johtaneen Sandworm , valtion tukema hakkeriryhmä, jolla on yhteyksiä Venäjän federaation asevoimien pääesikunnan päätiedusteluosaston (GRU) sotilasyksikköön 74455. Kyberturvallisuustutkijat julkaisivat yksityiskohtia uhkaavasta kampanjasta ja SwiftSlicer-uhkasta.

SwiftSlicerin uhkaavat ominaisuudet

SwiftSliceria käyttävä haitallinen tunkeutuminen havaittiin 25.1.2023. Päämääriensä toteuttamiseksi kyberrikolliset käyttivät Active Directoryn ryhmäkäytäntöä hyväkseen. Kun SwiftSlicer on suoritettu, sen vioittunut koodi poistaa kaikki tiedostojen Shadow Volume -kopiot ja korvaa rekursiivisesti tiedostot, jotka sijaitsevat kansioissa %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS ja muissa rikotun laitteen ulkopuolisissa asemissa. Kohdistetut tiedostot tuhoutuvat kirjoittamalla ne päälle satunnaisesti luoduilla 4 096 tavun pituisilla tavusarjoilla. Kun tämä prosessi oli valmis, tartunnan saaneet laitteet käynnistyvät uudelleen.

Sandwork-hakkerit jatkavat Ukrainan organisaatioiden kohdistamista

Venäläinen vastustajakollektiivi Sandworm on yhdistetty pyyhkimishaittaohjelmien muunnelmien käyttöön hyökkäyksissä, jotka on suunniteltu aiheuttamaan häiriöitä ja tuhoa Ukrainassa. Tämä ryhmä, joka tunnetaan myös nimellä BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots ja Voodoo Bear, on ollut aktiivinen vuodesta 2007 ja on vastuussa monista kehittyneistä kyberkampanjoista, jotka on kohdistettu organisaatioille ympäri maailmaa. Esimerkkejä heidän mukautetuista työkaluistaan ovat BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel ja Cyclops Blink .

Pelkästään vuonna 2022 he ovat julkaisseet WhisperGate- , HermeticWiper- , IsaacWiper- , CaddyWiper- , Industroyer2- , Prestige- ja RansomBoggs kriittistä infrastruktuuria vastaan Ukrainassa. Tämä osuu samaan aikaan Venäjän sotilaallisen hyökkäyksen kanssa maahan. Ukrainan Computer Emergency Response Team (CERT-UA) yhdisti äskettäin Sandwormin Ukrinformiin – kansalliseen uutistoimistoon – tehtyyn kyberhyökkäysyritykseen, joka tapahtui viimeistään 7. joulukuuta 2022. tämä hyökkäys: CaddyWiper ; ZeroWipe; SDelete; AwfulShred ja BidSwipe - kohdistaminen FreeBSD-, Windows- ja Linux-laitteisiin.