新型網(wǎng)絡(luò)攻擊：SwiftSlicer 針對(duì)烏克蘭的行動(dòng)

重點(diǎn)摘要

• 攻擊時(shí)間 ：2023年1月25日
• 攻擊方 ：被指控的 SandWorm
• 攻擊類型 ：名為 SwiftSlicer 的清除型惡意軟件
• 發(fā)現(xiàn)機(jī)構(gòu) ：斯洛伐克網(wǎng)絡(luò)安全公司 ESET
• 編程語言 ：Go
• 攻擊影響 ：刪除影子公司的文件，并對(duì)系統(tǒng)驅(qū)動(dòng)器及非系統(tǒng)驅(qū)動(dòng)器中的文件進(jìn)行遞歸覆蓋

最近，一場(chǎng)新的網(wǎng)絡(luò)攻擊被歸因于 SandWorm，攻擊目標(biāo)是烏克蘭。這次攻擊被稱為 SwiftSlicer，由斯洛伐克網(wǎng)絡(luò)安全公司 ESET發(fā)現(xiàn)。該攻擊利用 Active Directory 組策略，且采用 Go 編程語言編寫。

一旦被部署，SwiftSlicer 會(huì)刪除影子公司，并在重啟計(jì)算機(jī)之前遞歸地覆蓋位于系統(tǒng)驅(qū)動(dòng)器和其他非系統(tǒng)驅(qū)動(dòng)器的文件。ESET研究人員在推特上解釋說，惡意軟件通過使用 4096 字節(jié)長(zhǎng)度的塊，填充隨機(jī)生成的字節(jié)來覆蓋驅(qū)動(dòng)器。

ESET 的。

ESET 的威脅研究總監(jiān) Jean-Ian Boutin 告訴 SC Media，SwiftSlicer 惡意軟件只在烏克蘭被發(fā)現(xiàn)。Boutin進(jìn)一步指出，“新發(fā)現(xiàn)的 Sandworm 活動(dòng)與之前的活動(dòng)一致，因?yàn)?Sandworm 在烏克蘭的操作中大量使用不同類型的清除型惡意軟件。”

清除型惡意軟件的影響

自 2022 年 1月以來，清除型惡意軟件變種在針對(duì)烏克蘭的攻擊中扮演了重要角色。在一種針對(duì)烏克蘭多行業(yè)的毀滅性清除型惡意軟件變種，該惡意軟件模仿了勒索軟件的外觀，但沒有任何贖金恢復(fù)的功能。

無論是在烏克蘭入侵之前，還是之后，由俄羅斯國(guó)家支持的威脅組織 Sandworm 在多個(gè)領(lǐng)域造成了嚴(yán)重破壞。該組織與 2017 年針對(duì)健康行業(yè)的臭名昭著的 NotPetya 網(wǎng)絡(luò)攻擊，以及 2015 和 2016 年發(fā)起的烏克蘭電網(wǎng)攻擊有關(guān)聯(lián)。

自 2022 年初以來，該組織積極針對(duì)眾多烏克蘭機(jī)構(gòu)。最近的檢測(cè)出現(xiàn)在 11 月，ESET 研究將新出現(xiàn)的 .NET 基礎(chǔ) RansomBoggs勒索軟件變種與 Sandworm 相關(guān)聯(lián)，這顯示該組織在戰(zhàn)術(shù)和傳播方式上的一致性。

11 月的攻擊活動(dòng)利用 PowerShell 腳本來分發(fā)勒索軟件，其過程與 2022 年 4 月的 Industroyer2 惡意軟件攻擊幾乎一致。POWERGAP PowerShell 腳本在此次攻擊中被施用，使 CaddyWiper 惡意軟件能夠通過 ArguePatch 加載器進(jìn)行傳遞。

Sandworm 的行動(dòng)還與俄羅斯支持的 Iridium 有關(guān)聯(lián)，后者可能實(shí)施了針對(duì)烏克蘭和波蘭的運(yùn)輸及物流組織的 Prestige勒索軟件攻擊。這兩個(gè)組織在烏克蘭戰(zhàn)爭(zhēng)期間保持活躍，并與自沖突開始以來的多起破壞性攻擊有關(guān)聯(lián)。

盡管俄羅斯在去年的 2 月，，旨在支援軍事通信能力，但。然而，俄羅斯始終以破壞性攻擊和情報(bào)收集的方式保持著持續(xù)的存在。