ESET araştırmacıları, Ukrayna kuruluşlarını hedef almak için kullanılan başka bir silici kötü amaçlı yazılım keşfetti. SwiftSlicer olarak adlandırılan bu yazılımın Sandworm APT tarafından kullanıldığı düşünülüyor.
Eşzamanlı olarak, Ukraynalı CERT, yakın zamanda Ukrayna Ulusal Haber Ajansı’nın (Ukrinform) işleyişini bozmayı amaçlayan saldırganların, farklı işletim sistemlerini çalıştıran makineleri “yok etmeye” çalışmak için çeşitli kötü amaçlı yazılım silecekleri ve bir meşru Windows komut satırı yardımcı programı kullandığını doğruladı. Bunun arkasında Sandworm ekibinin de olduğuna inanıyorlar.
Silecekler Ukrayna’yı hedef aldı
Fortinet güvenlik araştırmacısı Geri Révay geçen yıl silici kötü amaçlı yazılımların “patlamasını” özetledi ve birkaç ilginç noktaya değindi/yineledi:
- Saldırganlar şifre çözme anahtarını paylaşamıyorsa, fidye yazılımı bir silici görevi görebilir
- Silecekler fidye yazılımı gibi görünebilir
- OT ortamları için silecekler bir şeydir
- Ana işlevi yok etme olduğundan ve 2022’de tespit edilen yeni silicilerin çoğu Ukraynalı kuruluşları hedef aldığından, bir çatışma sırasında silici kötü amaçlı yazılımındaki artış beklenebilir.
Ukrayna Devlet Özel İletişim Servisi’ne göre, bu ayın başlarında CERT-UA, Ukrinform’a yönelik siber saldırıyı savuşturdu ve yıkıcı etkisini kurumun bilgi altyapısının bazı bölümleriyle – “sınırlı sayıda veri depolama sistemi” ile sınırladı.
“Saldırıyı araştırırken CERT-UA uzmanları, suçluların CaddyWiper ve ZeroWipe yıkıcı kötü amaçlı yazılımın yanı sıra meşru bir SDelete yardımcı programını (“news” aracılığıyla başlatmayı planladıkları) kullanarak kullanıcı iş istasyonlarının normal çalışmasını bozmak için başarısız bir girişimde bulunduğunu öğrendi. .bat”). Aynı zamanda, merkezi kötü amaçlı yazılım dağıtımı için bir grup ilkesi nesnesi (GPO) kullanıldı. Karşılık gelen zamanlanmış görevlerin oluşturulmasını sağladı.”
Saldırganlar, Linux ve FreeBSD makinelerini hedeflemek için AwfulShred ve BidSwipe silicilerini de kullandı.
CERT-UA ayrıca, saldırganlar tarafından kurumun bilgi kaynaklarına uzaktan erişmelerine izin vermek için kullanılan, ancak bu konuda daha fazla bilgi vermeyen “ICS’nin bir unsurundan” bahsetti.
SwiftSlicer silecek
ESET araştırmacıları, Ukrayna’daki bir siber saldırıda kullanılan başka bir siliciye SwiftSlicer adını verdi. Saldırının hedefini belirtmediler, ancak (Active Directory) grup ilkesi nesneleri aracılığıyla yayıldığını paylaştılar.
“Yürütüldükten sonra gölge kopyaları siler, tekrar tekrar %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS ve diğer sistem dışı sürücülerde bulunan dosyaların üzerine yazar ve ardından bilgisayarı yeniden başlatır. Üzerine yazmak için rasgele oluşturulmuş baytlarla dolu 4096 bayt uzunluğunda bir blok kullanıyor” diyorlar. not alınmış. Bu dosyaların yalnızca bazı bölümlerinin üzerine yazmak, onları geri yüklemeyi zorlaştırmak için yeterlidir.
Silecek, platformlar arası bir programlama dili olan Go’da yazılmıştır; bu, araştırmacıların yakında farklı işletim sistemlerini hedefleyen SwiftSlicer sürümlerini tespit etmeye başlayabilecekleri anlamına gelir.