黑客使用新的SwiftSlicer擦除器来破坏Windows域

2023-01-29 19:59:05 4 2164

安全研究人员发现了一种新的数据擦除恶意软件,他们命名为SwiftSlicer,旨在覆盖Windows操作系统使用的关键文件。



安全研究人员发现了一种新的数据擦除恶意软件,他们命名为SwiftSlicer,旨在覆盖Windows操作系统使用的关键文件
这种新的恶意软件是在最近针对乌克兰目标的网络攻击中发现的,并归因于Sandworm,这是一个为俄罗斯总参谋部主要情报局(GRU)工作的黑客组织,是特殊技术主要中心(GTsST)军事单位74455的一部分。

基于 Go 的数据擦除器
虽然目前关于SwiftSlicer的细节很少,但网络安全公司ESET的安全研究人员表示,他们发现了在乌克兰网络攻击期间部署的破坏性恶意软件。
目标的名称尚未公布,最近的Sandworm活动包括对乌克兰国家通讯社Ukrinform的数据擦除攻击。
但是,在ESET于25月1日发现的攻击中,威胁行为者发起了一种名为CaddyWiper的不同破坏性恶意软件,该恶意软件之前在对乌克兰目标的其他攻击中观察到。
ESET表示,Sandworm使用Active Directory组策略启动了SwiftSlicer,该策略允许域管理员在Windows网络中的所有设备上执行脚本和命令。
ESET研究人员表示,部署SwiftSlicer是为了删除卷影副本并覆盖Windows系统目录中的关键文件,特别是驱动程序和Active Directory数据库。
%CSIDL_SYSTEM_DRIVE%\Windows\NTDS文件夹的特定目标表明擦除器不仅要销毁文件,还要关闭整个Windows域。


SwiftSlicer 数据擦除恶意软件功能

SwiftSlicer 使用 4096 字节的块覆盖数据,这些块填充了随机生成的字节。ESET研究人员说,完成数据销毁工作后,恶意软件会重新启动系统。
据研究人员介绍,Sandworm 用 Golang 编程语言开发了 SwiftSlicer,该语言因其多功能性而被多个威胁参与者采用,并且可以针对所有平台和硬件进行编译。
尽管该恶意软件最近才被添加到 Virus Total 数据库中(于 26 日提交),但扫描平台上超过一半的防病毒引擎目前检测到它。

俄罗斯的破坏性恶意软件
在今天的一份报告中,乌克兰计算机应急响应小组(CERT-UA)表示,Sandworm还试图在Ukrinform通讯社的网络上使用五个数据销毁实用程序:

  • CaddyWiper (Windows)
  • ZeroWipe (Windows)
  • SDelete (legitimate tool for Windows)
  • AwfulShred (Linux)
  • BidSwipe (FreeBSD)

该机构的调查显示,SandWorm使用组策略对象(GPO)将恶意软件分发到网络上的计算机 - 管理员用于在Active Directory环境中配置操作系统,应用程序和用户设置的一组规则,该方法也用于执行SwiftSlicer。

关于作者

评论4次

要评论?请先  登录  或  注册