SwiftSlicer
ウクライナは最近、Golang で書かれた SwiftSlicer と呼ばれる未知のデータ ワイパーの使用を含む、ロシアからの新しいサイバー攻撃の標的にされました。この攻撃は、GRU (ロシア連邦軍参謀総長の主要情報局) の軍事ユニット 74455 とのつながりを示す国家支援のハッカー グループであるSandwormによって管理されたと考えられています。脅迫キャンペーンと SwiftSlicer の脅威に関する詳細は、サイバーセキュリティの研究者によって公開されました。
SwiftSlicer の脅威的な機能
SwiftSlicer を展開する有害な侵入が 2023 年 1 月 25 日に検出されました。サイバー犯罪者は、目的を達成するために、Active Directory グループ ポリシーを悪用しました。 SwiftSlicer が実行されると、その破損したコードがファイルのすべてのシャドウ ボリューム コピーを削除し、侵害されたデバイスで見つかった %CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS、およびその他の非システム ドライブにあるファイルを再帰的に上書きします。対象のファイルは、ランダムに生成された長さ 4,096 バイトのバイト シーケンスで上書きされることによって破壊されます。このプロセスが完了すると、感染したデバイスが再起動します。
サンドワークのハッカーは引き続きウクライナの組織を標的にしています
ロシアの敵対集団であるサンドワームは、ウクライナでの混乱と破壊を引き起こすように設計された攻撃で、ワイパー マルウェアの亜種を使用することに関連しています。 BlackEnergy 、Electrum、Iridium、Iron Viking、TeleBots、および Voodoo Bear としても知られるこのグループは、2007 年から活動しており、世界中の組織を標的とする一連の高度なサイバー キャンペーンを担当しています。カスタム ツールの例には、 BlackEnergy 、 GreyEnergy 、 Industroyer 、 NotPetya 、 Olympic Destroyer 、 Exaramel 、 Cyclops Blinkなどがあります。
2022 年だけでも、ウクライナの重要なインフラストラクチャに対してWhisperGate 、 HermeticWiper 、 IsaacWiper 、 CaddyWiper 、 Industroyer2 、 Prestige 、および RansomBoggs を起動しました。これは、ロシアの軍事侵攻と一致している。ウクライナのコンピューター緊急対応チーム (CERT-UA) は最近、2022 年 12 月 7 日までに国営通信社である Ukrinform に対するサイバー攻撃の試みに Sandworm を関連付けました。この攻撃: CaddyWiper ;ゼロワイプ; S削除; AwfulShred と BidSwipe - FreeBSD、Windows、および Linux デバイスを対象としています。