محققان بدافزار جدید پاک کننده داده را در حمله سایبری به اوکراین شناسایی کردند

در این اطلاعیه اشاره شده است که بدافزار شناسایی شده با نام WinGo/Killfiles.C. در هنگام اجرا، SwiftSlicer کپی های سایه را حذف می کند و فایل ها را به صورت بازگشتی بازنویسی می کند، سپس کامپیوتر را راه اندازی مجدد می کند. داده ها را با استفاده از بلوک های 4096 بایتی که از بایت های تصادفی تولید شده تشکیل شده اند، بازنویسی می کند. فایل های رونویسی شده معمولاً در %CSIDL_SYSTEM%drivers، %CSIDL_SYSTEM_DRIVE%WindowsNTDS و چندین درایو غیر سیستمی دیگر قرار دارند.

به گفته CERT-UA، این حملات فقط تا حدی موفقیت آمیز بوده است. یکی از بسته‌های بدافزار فهرست شده Sandworm، CaddyWiper، نیز در یک حمله ناموفق که یکی از بزرگترین تامین‌کنندگان انرژی اوکراین را در آوریل 2022 هدف قرار داد، کشف شد. محققان ESET در طول آن حمله با همکاری با CERT-UA برای اصلاح و محافظت از شبکه کمک کردند.





منبع

به طور خلاصه: محققان امنیتی ESET نوع خاصی از بدافزار به نام SwiftSlicer را شناسایی کرده اند که در حملات اخیر علیه اهداف اوکراینی مستقر شده است. SwiftSlicer فایل های حیاتی سیستم عامل ویندوز و پایگاه های داده Active Directory (AD) را هدف قرار می دهد. بر اساس یافته های تیم، این بدافزار می تواند منابع سیستم عامل را از بین ببرد و کل دامنه های ویندوز را فلج کند.

محققان بدافزار SwiftSlicer را شناسایی کردند که در جریان یک حمله سایبری که مراکز فناوری اوکراین را هدف قرار داده بود، مستقر شده بود. این بدافزار با استفاده از یک زبان چند پلتفرمی به نام Golang که بیشتر با نام Go شناخته می شود، نوشته شده است و از بردار حمله گروهی Active Directory (AD) استفاده می کند.

تحلیلگران بدافزار به سبک پاک کن را به گروه هکر Sandworm نسبت دادند که به اداره اطلاعات اصلی ستاد کل روسیه (GRU) و مرکز اصلی فناوری های ویژه (GTsST) خدمات می دهد. آخرین حمله یادآور شیوع اخیر HermeticWiper و CaddyWiper است که در طول تهاجم روسیه به کار گرفته شد.

بخونید:  APU های سری Ryzen Z1 AMD در کنسول دستی Asus ROG Ally معرفی می شوند

اینکه بگوییم کرم شنی از زمان درگیری اوکراین مشغول بوده است، دست کم گرفته شده است. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) اخیراً ترکیب دیگری از چندین بسته بدافزار پاک کننده داده را کشف کرده است که در شبکه های خبرگزاری Ukrinform مستقر شده است. اسکریپت های بدافزار سیستم های ویندوز، لینوکس و FreeBSD را هدف قرار داده و آنها را با بارهای بدافزار متعددی از جمله CaddyWiper، ZeroWipe، SDelete، AwfulShred و BidSwipe آلوده کرده اند.