SwiftSlicer Wiper を使用して Windows ファイルを破壊するハッカー、セキュリティ研究者は言う

サイバーセキュリティの研究者は、ウクライナを標的にしていると言われている新しいマルウェアを特定しました。 サイバーセキュリティ企業 ESET が発見した悪意のあるソフトウェアは、Microsoft の Windows オペレーティング システムで使用されるファイルを上書きすることを目的としています。 セキュリティ研究者は、サイバー攻撃を行っていると繰り返し非難されてきた「サンドワーム」と呼ばれるグループの攻撃を非難しました. ハッキング チームは、Active Directory グループ ポリシーを使用して、SwiftSlicer と呼ばれる新しいワイパーを展開したとされています。 実行されると、SwiftSlicer はシャドウ コピーを削除し、システム ドライブと非システム ドライブ内のファイルを順次上書きしてから、コンピューターを再起動します。

セキュリティ会社の ESET は最近、ウクライナを標的としたサイバー攻撃を発見しました。 攻撃は Sandworm によるもので、25 月 XNUMX 日に行われたとされています。このチームは、ロシア連邦軍総参謀本部 (GRU としても知られています) のハッキング グループの XNUMX つであるとされており、しばしば次のように非難されています。サイバー攻撃を実行しています。 新しいマルウェアは Go プログラミング言語で書かれています。

「攻撃者は、Active Directory グループ ポリシーを使用して、#SwiftSlicer という名前の新しいワイパーを展開しました。 #SwiftSlicer ワイパーは Go プログラミング言語で記述されています。 この攻撃は #Sandworm によるものであると考えています」と ESET は述べています。 明らかになった Twitter経由で。

ESETの研究者 説明します SwiftSlicer ワイパーは、実行後に Windows システム上のシャドウ コピーを削除します。 次にマルウェアは、システム ドライバと非システム ドライブにあるいくつかのファイルを再帰的 (連続的に) 上書きし、コンピュータを再起動します。 ESET によると、上書きには、ランダムに生成されたバイトで満たされた 4096 バイト長のブロックが使用されます。

ウクライナのコンピュータ緊急対応チーム (CERT-UA) によると、ロシアの Sandworm は、ウクライナの国営通信社である Ukrinform に対して XNUMX 回の消去攻撃を展開しました。

アドバイザリーでは、CERT-UA は、報道機関のシステムにインストールされた CaddyWiper、ZeroWipe、SDelete、AwfulShred、および BidSwipe ワイパーの亜種を発見したと述べています。 これらのうち、最初の XNUMX つは Windows システムを標的にし、AwfulShred と BidSwipe は Ukrinform の Linux と FreeBSD システムを標的にしました。 攻撃は部分的にしか成功せず、通信社の業務には影響しませんでした。