SwiftSlicer

우크라이나는 최근 Golang으로 작성된 SwiftSlicer라는 알려지지 않은 데이터 와이퍼를 사용하는 러시아의 새로운 사이버 공격의 표적이 되었습니다. 이 공격은 GRU의 74455군부대(러시아연방군 참모본부)와 관련이 있는 국가 지원 해커 그룹인 샌드웜( Sandworm )이 관리한 것으로 보인다. 위협적인 캠페인과 SwiftSlicer 위협에 대한 세부 정보가 사이버 보안 연구원에 의해 공개되었습니다.

SwiftSlicer의 위협적인 기능

SwiftSlicer를 배포하는 유해한 침입은 2023년 1월 25일에 탐지되었습니다. 목표를 수행하기 위해 사이버 범죄자는 Active Directory 그룹 정책을 악용했습니다. SwiftSlicer가 실행되면 손상된 코드는 파일의 모든 섀도우 볼륨 복사본을 삭제하고 %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS 및 침해된 장치에서 발견된 기타 비시스템 드라이브에 있는 파일을 재귀적으로 덮어씁니다. 무작위로 생성된 4,096바이트 길이의 바이트 시퀀스로 덮어써서 대상 파일을 파괴합니다. 이 프로세스가 완료되면 감염된 장치가 재부팅됩니다.

Sandwork 해커는 계속해서 우크라이나 조직을 표적으로 삼습니다.

러시아의 적대 집단인 Sandworm은 우크라이나에서 혼란과 파괴를 유발하도록 설계된 공격에서 와이퍼 악성코드 변종을 사용하는 것과 관련이 있습니다. BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots 및 Voodoo Bear로도 알려진 이 그룹은 2007년부터 활동해 왔으며 전 세계 조직을 대상으로 하는 다양한 정교한 사이버 캠페인을 담당하고 있습니다. 사용자 정의 도구의 예로는 BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel 및 Cyclops Blink 가 있습니다.

2022년에만 우크라이나의 중요 인프라에 대해 WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige 및 RansomBoggs를 출시했습니다. 이것은 러시아의 군사 침공과 일치합니다. 우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 최근 2022년 12월 7일 이전에 발생한 국가 통신사인 Ukrinform에 대한 사이버 공격 시도에 Sandworm을 연결했습니다. 이 공격: CaddyWiper ; 제로와이프; SD삭제; AwfulShred 및 BidSwipe - FreeBSD, Windows 및 Linux 장치를 대상으로 합니다.