SwiftSlicer

Ukrayna kısa bir süre önce Rusya'dan, Golang'da yazılmış SwiftSlicer adlı bilinmeyen bir veri sileceğinin kullanımını içeren yeni bir siber saldırının hedefi oldu. Saldırının, GRU'nun (Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Ana İstihbarat Müdürlüğü) 74455 Askeri Birimi ile bağlantılı olduğunu gösteren devlet destekli bir bilgisayar korsanı grubu olan Sandworm tarafından yönetildiğine inanılıyor. Tehdit kampanyası ve SwiftSlicer tehdidiyle ilgili ayrıntılar siber güvenlik araştırmacıları tarafından yayınlandı.

SwiftSlicer'ın Tehdit Edici Yetenekleri

SwiftSlicer'ı dağıtan zararlı izinsiz giriş 25 Ocak 2023'te tespit edildi. Siber suçlular, hedeflerini gerçekleştirmek için Active Directory Grup İlkesi'nden yararlandı. SwiftSlicer yürütüldüğünde, bozuk kodu dosyaların tüm Gölge Birim Kopyalarını silecek ve ihlal edilen cihazlarda bulunan %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS ve diğer sistem dışı sürücülerde bulunan dosyaların tekrar tekrar üzerine yazacaktır. Hedeflenen dosyalar, rastgele oluşturulmuş 4.096 bayt uzunluğundaki bayt dizileriyle üzerine yazılarak yok edilir. Bu işlem tamamlandıktan sonra, virüslü cihazlar yeniden başlatılırdı.

Sandwork Hacker'ları Ukrayna Kuruluşlarını Hedef Almaya Devam Ediyor

Rus düşman topluluğu Sandworm, Ukrayna'da bozulma ve yıkıma neden olmak için tasarlanmış saldırılarda silici kötü amaçlı yazılım varyantlarının kullanılmasıyla ilişkilendirildi. BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots ve Voodoo Bear olarak da bilinen bu grup, 2007'den beri faaliyet gösteriyor ve dünya çapındaki kuruluşları hedef alan bir dizi gelişmiş siber kampanyadan sorumlu. Özel araçlarına örnek olarak BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel ve Cyclops Blink verilebilir.

Yalnızca 2022'de Ukrayna'daki kritik altyapıya karşı WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige ve RansomBoggs'u başlattılar. Bu, Rusya'nın ülkeyi askeri işgaliyle aynı zamana denk geliyor. Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) kısa süre önce Sandworm'u ulusal haber ajansı olan Ukrinform'a yönelik ve en geç 7 Aralık 2022 tarihinde gerçekleşen bir siber saldırı girişimiyle ilişkilendirdi. bu saldırı: CaddyWiper ; Sıfır Silme; Sil; AwfulShred ve BidSwipe - FreeBSD, Windows ve Linux cihazlarını hedefliyor.