SwiftSlicer

烏克蘭最近成為來自俄羅斯的新網絡攻擊的目標，其中涉及使用名為 SwiftSlicer 的未知數據擦除器，它是用 Golang 編寫的。據信這次攻擊是由Sandworm管理的，Sandworm 是一個國家支持的黑客組織，與 GRU（俄羅斯聯邦武裝部隊總參謀部主要情報局）的軍事單位 74455 有聯繫。網絡安全研究人員發布了有關威脅活動和 SwiftSlicer 威脅的詳細信息。

SwiftSlicer 的威脅能力

2023 年 1 月 25 日檢測到部署 SwiftSlicer 的有害入侵。為了實現他們的目標，網絡犯罪分子利用了 Active Directory 組策略。一旦 SwiftSlicer 被執行，其損壞的代碼將刪除文件的所有捲影副本，並遞歸地覆蓋位於 %CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS 和其他在被破壞設備上找到的非系統驅動器中的文件。目標文件通過被隨機生成的 4,096 字節長的字節序列覆蓋而被破壞。完成此過程後，受感染的設備將重新啟動。

Sandwork 黑客繼續以烏克蘭組織為目標

俄羅斯敵對團體 Sandworm 與在旨在對烏克蘭造成破壞和破壞的攻擊中使用擦除器惡意軟件變體有關。該組織也稱為BlackEnergy 、Electrum、Iridium、Iron Viking、TeleBots 和 Voodoo Bear，自 2007 年以來一直活躍，負責針對全球組織的一系列複雜網絡活動。他們的自定義工具示例包括BlackEnergy 、 GreyEnergy 、 Industroyer 、 NotPetya 、 Olympic Destroyer 、 Exaramel和Cyclops Blink 。

僅在 2022 年，他們就針對烏克蘭的關鍵基礎設施推出了WhisperGate 、 HermeticWiper 、 IsaacWiper 、 CaddyWiper 、 Industroyer2 、 Prestige和 RansomBoggs。這恰逢俄羅斯對該國的軍事入侵。烏克蘭計算機應急響應小組 (CERT-UA) 最近將 Sandworm 與對國家新聞機構 Ukrinform 的未遂網絡攻擊聯繫起來，該攻擊發生在 2022 年 12 月 7 日之前。五種不同的數據擦除惡意軟件工具被用於這次攻擊： CaddyWiper ；零擦除； S刪除； AwfulShred 和 BidSwipe - 針對 FreeBSD、Windows 和 Linux 設備。