黑客使用新的SwiftSlicer擦除器来破坏Windows域

安全研究人员发现了一种新的数据擦除恶意软件，他们命名为SwiftSlicer，旨在覆盖Windows操作系统使用的关键文件。
这种新的恶意软件是在最近针对乌克兰目标的网络攻击中发现的，并归因于Sandworm，这是一个为俄罗斯总参谋部主要情报局（GRU）工作的黑客组织，是特殊技术主要中心（GTsST）军事单位74455的一部分。

基于 Go 的数据擦除器
虽然目前关于SwiftSlicer的细节很少，但网络安全公司ESET的安全研究人员表示，他们发现了在乌克兰网络攻击期间部署的破坏性恶意软件。
目标的名称尚未公布，最近的Sandworm活动包括对乌克兰国家通讯社Ukrinform的数据擦除攻击。
但是，在ESET于25月1日发现的攻击中，威胁行为者发起了一种名为CaddyWiper的不同破坏性恶意软件，该恶意软件之前在对乌克兰目标的其他攻击中观察到。
ESET表示，Sandworm使用Active Directory组策略启动了SwiftSlicer，该策略允许域管理员在Windows网络中的所有设备上执行脚本和命令。
ESET研究人员表示，部署SwiftSlicer是为了删除卷影副本并覆盖Windows系统目录中的关键文件，特别是驱动程序和Active Directory数据库。
%CSIDL_SYSTEM_DRIVE%\Windows\NTDS文件夹的特定目标表明擦除器不仅要销毁文件，还要关闭整个Windows域。


SwiftSlicer 数据擦除恶意软件功能

SwiftSlicer 使用 4096 字节的块覆盖数据，这些块填充了随机生成的字节。ESET研究人员说，完成数据销毁工作后，恶意软件会重新启动系统。
据研究人员介绍，Sandworm 用 Golang 编程语言开发了 SwiftSlicer，该语言因其多功能性而被多个威胁参与者采用，并且可以针对所有平台和硬件进行编译。
尽管该恶意软件最近才被添加到 Virus Total 数据库中（于 26 日提交），但扫描平台上超过一半的防病毒引擎目前检测到它。

俄罗斯的破坏性恶意软件
在今天的一份报告中，乌克兰计算机应急响应小组（CERT-UA）表示，Sandworm还试图在Ukrinform通讯社的网络上使用五个数据销毁实用程序：

• CaddyWiper (Windows)
  
• ZeroWipe (Windows)
  
• SDelete (legitimate tool for Windows)
  
• AwfulShred (Linux)
  
• BidSwipe (FreeBSD)
  

该机构的调查显示，SandWorm使用组策略对象（GPO）将恶意软件分发到网络上的计算机 - 管理员用于在Active Directory环境中配置操作系统，应用程序和用户设置的一组规则，该方法也用于执行SwiftSlicer。