SwiftSlicer

乌克兰最近成为来自俄罗斯的新网络攻击的目标，其中涉及使用名为 SwiftSlicer 的未知数据擦除器，它是用 Golang 编写的。据信这次攻击是由Sandworm管理的，Sandworm 是一个国家支持的黑客组织，与 GRU（俄罗斯联邦武装部队总参谋部主要情报局）的军事单位 74455 有联系。网络安全研究人员发布了有关威胁活动和 SwiftSlicer 威胁的详细信息。

SwiftSlicer 的威胁能力

2023 年 1 月 25 日检测到部署 SwiftSlicer 的有害入侵。为了实现他们的目标，网络犯罪分子利用了 Active Directory 组策略。一旦 SwiftSlicer 被执行，其损坏的代码将删除文件的所有卷影副本，并递归地覆盖位于 %CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS 和其他在被破坏设备上找到的非系统驱动器中的文件。目标文件通过被随机生成的 4,096 字节长的字节序列覆盖而被破坏。完成此过程后，受感染的设备将重新启动。

Sandwork 黑客继续以乌克兰组织为目标

俄罗斯敌对团体 Sandworm 与在旨在对乌克兰造成破坏和破坏的攻击中使用擦除器恶意软件变体有关。该组织也称为BlackEnergy 、Electrum、Iridium、Iron Viking、TeleBots 和 Voodoo Bear，自 2007 年以来一直活跃，负责针对全球组织的一系列复杂网络活动。他们的自定义工具示例包括BlackEnergy 、 GreyEnergy 、 Industroyer 、 NotPetya 、 Olympic Destroyer 、 Exaramel和Cyclops Blink 。

仅在 2022 年，他们就针对乌克兰的关键基础设施推出了WhisperGate 、 HermeticWiper 、 IsaacWiper 、 CaddyWiper 、 Industroyer2 、 Prestige和 RansomBoggs。这恰逢俄罗斯对该国的军事入侵。乌克兰计算机应急响应小组 (CERT-UA) 最近将 Sandworm 与对国家新闻机构 Ukrinform 的未遂网络攻击联系起来，该攻击发生在 2022 年 12 月 7 日之前。五种不同的数据擦除恶意软件工具被用于这次攻击： CaddyWiper ；零擦除； S删除； AwfulShred 和 BidSwipe - 针对 FreeBSD、Windows 和 Linux 设备。