Các nhà nghiên cứu bảo mật đã xác định được một phần mềm độc hại xóa dữ liệu mới mà họ đặt tên là SwiftSlicer nhằm mục đích ghi đè lên các tệp quan trọng được sử dụng bởi hệ điều hành Windows.
Phần mềm độc hại mới được phát hiện trong một cuộc tấn công mạng gần đây nhằm vào một mục tiêu ở Ukraine và được cho là của Sandworm, một nhóm hack làm việc cho Tổng cục Tình báo Chính của Bộ Tổng tham mưu Nga (GRU) như một phần của đơn vị quân sự 74455 của Trung tâm Công nghệ Đặc biệt (GTsST). .
Mặc dù hiện tại vẫn còn rất ít thông tin chi tiết về SwiftSlicer, nhưng các nhà nghiên cứu bảo mật tại công ty an ninh mạng ESET nói rằng họ đã tìm thấy phần mềm độc hại phá hoại được triển khai trong một cuộc tấn công mạng ở Ukraine.
Tên của mục tiêu chưa được công bố, hoạt động gần đây của Sandworm bao gồm một cuộc tấn công xóa dữ liệu vào Ukrinform , hãng thông tấn quốc gia của Ukraine.
Tuy nhiên, trong cuộc tấn công mà ESET đã phát hiện vào ngày 25 tháng 1, tác nhân đe dọa đã khởi chạy một phần mềm độc hại có sức hủy diệt khác có tên CaddyWiper, trước đây đã được quan sát thấy trong các cuộc tấn công khác vào các mục tiêu Ukraine.
ESET nói rằng Sandworm đã khởi chạy SwiftSlicer bằng Chính sách nhóm Active Directory, cho phép quản trị viên miền thực thi các tập lệnh và lệnh trên tất cả các thiết bị trong mạng Windows.
Các nhà nghiên cứu của ESET nói rằng SwiftSlicer đã được triển khai để xóa các bản sao ẩn và ghi đè lên các tệp quan trọng trong thư mục hệ thống Windows, cụ thể là trình điều khiển và cơ sở dữ liệu Active Directory.
Nhắm mục tiêu cụ thể của thư mục %CSIDL_SYSTEM_DRIVE%\Windows\NTDS cho biết rằng công cụ xóa không chỉ nhằm mục đích hủy các tệp mà còn hạ gục toàn bộ miền Windows.
Chức năng phần mềm độc hại xóa dữ liệu SwiftSlicer
SwiftSlicer ghi đè dữ liệu bằng cách sử dụng các khối 4096 byte chứa đầy các byte được tạo ngẫu nhiên. Các nhà nghiên cứu của ESET cho biết sau khi hoàn thành công việc phá hủy dữ liệu, phần mềm độc hại sẽ khởi động lại hệ thống.
Theo các nhà nghiên cứu, Sandworm đã phát triển SwiftSlicer bằng ngôn ngữ lập trình Golang, ngôn ngữ này đã được nhiều tác nhân đe dọa sử dụng vì tính linh hoạt của nó và nó có thể được biên dịch cho tất cả các nền tảng và phần cứng.
Mặc dù phần mềm độc hại này mới chỉ được thêm vào cơ sở dữ liệu Virus Total (được gửi vào ngày 26 tháng 1), nhưng nó hiện đã được phát hiện bởi hơn một nửa số công cụ chống vi-rút có trên nền tảng quét.
Trong một báo cáo ngày hôm nay, Đội phản ứng khẩn cấp máy tính Ukraine (CERT-UA) nói rằng Sandworm cũng đã cố gắng sử dụng năm tiện ích hủy dữ liệu trên mạng của hãng thông tấn Ukrinform:
Cuộc điều tra của cơ quan cho thấy SandWorm đã phân phối phần mềm độc hại cho các máy tính trên mạng bằng Đối tượng Chính sách Nhóm (GPO) - một bộ quy tắc mà quản trị viên sử dụng để định cấu hình hệ điều hành, ứng dụng và cài đặt người dùng trong môi trường Active Directory, phương pháp tương tự cũng được sử dụng để thực thi SwiftSlicer.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.