تحلیلگران بدافزار به سبک پاک کن را به گروه هکر Sandworm نسبت دادند که به اداره اطلاعات اصلی ستاد کل روسیه (GRU) و مرکز اصلی فناوری های ویژه (GTsST) خدمات می دهد. آخرین حمله یادآور شیوع اخیر HermeticWiper و CaddyWiper است که در طول تهاجم روسیه به کار گرفته شد.
محققان خاطرنشان کردند که هکرها اهداف را در هر سه حمله پاک کن از طریق یک بردار مبتنی بر AD آلوده کردند. شباهتهای روشهای استقرار باعث میشود ESET بر این باور باشد که عوامل Sandworm ممکن است کنترل محیطهای Active Directory هدف خود را قبل از شروع حمله به دست گرفته باشند.
به روز رسانی: UAC-0082 (مشکوک #کرم شنیبرای هدف قرار دادن Ukrinform با استفاده از 5 نوع نرم افزار مخرب: CaddyWiper، ZeroWipe، SDelete، AwfulShred، BidSwipe.
در این اطلاعیه اشاره شده است که بدافزار شناسایی شده با نام WinGo/Killfiles.C. در هنگام اجرا، SwiftSlicer کپی های سایه را حذف می کند و فایل ها را به صورت بازگشتی بازنویسی می کند، سپس کامپیوتر را راه اندازی مجدد می کند. داده ها را با استفاده از بلوک های 4096 بایتی که از بایت های تصادفی تولید شده تشکیل شده اند، بازنویسی می کند. فایل های رونویسی شده معمولاً در %CSIDL_SYSTEM%drivers، %CSIDL_SYSTEM_DRIVE%WindowsNTDS و چندین درایو غیر سیستمی دیگر قرار دارند.
اینکه بگوییم کرم شنی از زمان درگیری اوکراین مشغول بوده است، دست کم گرفته شده است. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) اخیراً ترکیب دیگری از چندین بسته بدافزار پاک کننده داده را کشف کرده است که در شبکه های خبرگزاری Ukrinform مستقر شده است. اسکریپت های بدافزار سیستم های ویندوز، لینوکس و FreeBSD را هدف قرار داده و آنها را با بارهای بدافزار متعددی از جمله CaddyWiper، ZeroWipe، SDelete، AwfulShred و BidSwipe آلوده کرده اند.
محققان بدافزار SwiftSlicer را شناسایی کردند که در جریان یک حمله سایبری که مراکز فناوری اوکراین را هدف قرار داده بود، مستقر شده بود. این بدافزار با استفاده از یک زبان چند پلتفرمی به نام Golang که بیشتر با نام Go شناخته می شود، نوشته شده است و از بردار حمله گروهی Active Directory (AD) استفاده می کند.
#شکستن در 25 ژانویه #ESETResearch یک حمله سایبری جدید در 🇺🇦 اوکراین کشف کرد. مهاجمان برف پاک کن جدیدی را که ما نام بردیم، مستقر کردند #SwiftSlicer با استفاده از Active Directory Group Policy را #SwiftSlicer wiper به زبان برنامه نویسی Go نوشته شده است. ما این حمله را به #کرم شنی. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) 27 ژانویه 2023
جزئیات: https://t.co/vFIiRvXm0u (فقط UA)
— CERT-UA (@_CERT_UA) 27 ژانویه 2023
به طور خلاصه: محققان امنیتی ESET نوع خاصی از بدافزار به نام SwiftSlicer را شناسایی کرده اند که در حملات اخیر علیه اهداف اوکراینی مستقر شده است. SwiftSlicer فایل های حیاتی سیستم عامل ویندوز و پایگاه های داده Active Directory (AD) را هدف قرار می دهد. بر اساس یافته های تیم، این بدافزار می تواند منابع سیستم عامل را از بین ببرد و کل دامنه های ویندوز را فلج کند.
به گفته CERT-UA، این حملات فقط تا حدی موفقیت آمیز بوده است. یکی از بستههای بدافزار فهرست شده Sandworm، CaddyWiper، نیز در یک حمله ناموفق که یکی از بزرگترین تامینکنندگان انرژی اوکراین را در آوریل 2022 هدف قرار داد، کشف شد. محققان ESET در طول آن حمله با همکاری با CERT-UA برای اصلاح و محافظت از شبکه کمک کردند.