محققان بدافزار جدید پاک کننده داده را در حمله سایبری به اوکراین شناسایی کردند

تحلیلگران بدافزار به سبک پاک کن را به گروه هکر Sandworm نسبت دادند که به اداره اطلاعات اصلی ستاد کل روسیه (GRU) و مرکز اصلی فناوری های ویژه (GTsST) خدمات می دهد. آخرین حمله یادآور شیوع اخیر HermeticWiper و CaddyWiper است که در طول تهاجم روسیه به کار گرفته شد.

محققان خاطرنشان کردند که هکرها اهداف را در هر سه حمله پاک کن از طریق یک بردار مبتنی بر AD آلوده کردند. شباهت‌های روش‌های استقرار باعث می‌شود ESET بر این باور باشد که عوامل Sandworm ممکن است کنترل محیط‌های Active Directory هدف خود را قبل از شروع حمله به دست گرفته باشند.

به روز رسانی: UAC-0082 (مشکوک #کرم شنیبرای هدف قرار دادن Ukrinform با استفاده از 5 نوع نرم افزار مخرب: CaddyWiper، ZeroWipe، SDelete، AwfulShred، BidSwipe.

در این اطلاعیه اشاره شده است که بدافزار شناسایی شده با نام WinGo/Killfiles.C. در هنگام اجرا، SwiftSlicer کپی های سایه را حذف می کند و فایل ها را به صورت بازگشتی بازنویسی می کند، سپس کامپیوتر را راه اندازی مجدد می کند. داده ها را با استفاده از بلوک های 4096 بایتی که از بایت های تصادفی تولید شده تشکیل شده اند، بازنویسی می کند. فایل های رونویسی شده معمولاً در %CSIDL_SYSTEM%drivers، %CSIDL_SYSTEM_DRIVE%WindowsNTDS و چندین درایو غیر سیستمی دیگر قرار دارند.

اینکه بگوییم کرم شنی از زمان درگیری اوکراین مشغول بوده است، دست کم گرفته شده است. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) اخیراً ترکیب دیگری از چندین بسته بدافزار پاک کننده داده را کشف کرده است که در شبکه های خبرگزاری Ukrinform مستقر شده است. اسکریپت های بدافزار سیستم های ویندوز، لینوکس و FreeBSD را هدف قرار داده و آنها را با بارهای بدافزار متعددی از جمله CaddyWiper، ZeroWipe، SDelete، AwfulShred و BidSwipe آلوده کرده اند.

به طور خلاصه: محققان امنیتی ESET نوع خاصی از بدافزار به نام SwiftSlicer را شناسایی کرده اند که در حملات اخیر علیه اهداف اوکراینی مستقر شده است. SwiftSlicer فایل های حیاتی سیستم عامل ویندوز و پایگاه های داده Active Directory (AD) را هدف قرار می دهد. بر اساس یافته های تیم، این بدافزار می تواند منابع سیستم عامل را از بین ببرد و کل دامنه های ویندوز را فلج کند.

به گفته CERT-UA، این حملات فقط تا حدی موفقیت آمیز بوده است. یکی از بسته‌های بدافزار فهرست شده Sandworm، CaddyWiper، نیز در یک حمله ناموفق که یکی از بزرگترین تامین‌کنندگان انرژی اوکراین را در آوریل 2022 هدف قرار داد، کشف شد. محققان ESET در طول آن حمله با همکاری با CERT-UA برای اصلاح و محافظت از شبکه کمک کردند.





منبع