Исследователи ESET обнаружили в Украине новую атаку с помощью вайпера, которую они приписывают группе Sandworm APT.Этот разрушительный вредоносный софт, получивший название SwiftSlicer, был замечен в сети целевой организации 25 января. Он был развернут через групповую политику, что указывает на то, что злоумышленники захватили контроль над средой Active Directory жертвы.Некоторые из вайперов, замеченных ESET в Украине в начале российского вторжения – HermeticWiper и CaddyWiper – в некоторых случаях были установлены таким же образом. Последний был замечен в сети украинского информационного агентства Ukrinform всего несколько дней назад.
SwiftSlicer обнаруживается продуктами ESET как WinGo/KillFiles.C. Вредоносный софт написан на Go – универсальном кроссплатформенном языке программирования.Что касается метода уничтожения данных SwiftSlicer, исследователи ESET сказали следующее: «После выполнения он удаляет теневые копии, рекурсивно перезаписывает файлы, расположенные в %CSIDL_SYSTEM%drivers, %CSIDL_SYSTEM_DRIVE%WindowsNTDS и других несистемных дисках, а затем перезагружает компьютер. Для перезаписи он»Два месяца назад ESET обнаружила волну атак программы-вымогателя RansomBoggs в охваченной войной стране, которые также были связаны с Sandworm. Эти кампании стали лишь одним из последних дополнений к длинному резюме разрушительных атак, которые группа проводила против Украины за последнее десятилетие. SandworЧтобы узнать больше о кампаниях Sandworm в Украине за последние месяцы, перейдите по ссылке ESET APT Activity Report T3 2022
