SwiftSlicer Wiper를 사용하여 Windows 파일을 파괴하는 해커, 보안 연구원의 말

사이버 보안 연구원들이 우크라이나를 표적으로 하는 새로운 악성코드를 확인했습니다. 사이버 보안 회사인 ESET에서 발견한 이 악성 소프트웨어는 Microsoft의 Windows 운영 체제에서 사용하는 파일을 덮어쓰도록 고안되었습니다. 보안 연구원들은 사이버 공격을 수행한 것으로 반복적으로 비난을 받아온 "Sandworm"이라는 그룹에 대한 공격을 비난했습니다. 해킹 팀은 Active Directory 그룹 정책을 사용하여 SwiftSlicer라는 새로운 와이퍼를 배포했다고 합니다. 일단 실행되면 SwiftSlicer는 쉐도우 복사본을 삭제하고 시스템 및 비시스템 드라이브의 파일을 연속적으로 덮어쓴 다음 컴퓨터를 재부팅합니다.

보안 회사 ESET은 최근 우크라이나를 대상으로 한 사이버 공격을 발견했습니다. 이 공격은 Sandworm에 기인하며 25월 XNUMX일에 발생했습니다. 이 팀은 러시아 연방군 총참모부(GRU라고도 함)의 러시아 본부 해킹 그룹 중 하나로 알려져 있으며 종종 다음과 같은 혐의를 받고 있습니다. 사이버 공격을 수행합니다. 새로운 악성코드는 Go 프로그래밍 언어로 작성되었습니다.

“공격자는 Active Directory 그룹 정책을 사용하여 #SwiftSlicer라는 새로운 와이퍼를 배포했습니다. #SwiftSlicer 와이퍼는 Go 프로그래밍 언어로 작성되었습니다. 우리는 이 공격이 #Sandworm 때문이라고 생각합니다.” ESET 공개 트위터를 통해.

ESET 연구원 설명 SwiftSlicer 와이퍼는 실행 후 Windows 시스템에서 쉐도우 복사본을 삭제합니다. 그런 다음 맬웨어는 시스템 드라이버와 비시스템 드라이브에 있는 여러 파일을 재귀적으로(연속적으로) 덮어쓴 다음 컴퓨터를 재부팅합니다. ESET에 따르면 덮어쓰기를 위해 임의로 생성된 바이트로 채워진 4096바이트 길이 블록을 사용합니다.

우크라이나의 컴퓨터 비상 대응팀(CERT-UA)에 따르면 러시아의 샌드웜은 우크라이나 국영 통신사인 Ukrinform에 대해 XNUMX건의 삭제 공격을 전개했습니다.

권고에서, CERT-UA는 통신사 시스템에 설치된 CaddyWiper, ZeroWipe, SDelete, AwfulShred 및 BidSwipe 와이퍼 변종을 발견했다고 밝혔습니다. 이 중 처음 XNUMX개는 Windows 시스템을 대상으로 했으며 AwfulShred 및 BidSwipe는 Ukrinform의 Linux 및 FreeBSD 시스템을 대상으로 했습니다. 공격은 부분적으로만 성공했으며 통신사의 운영에는 영향을 미치지 않았습니다.