En un mot: Les chercheurs en sécurité d’ESET ont identifié un type spécifique de malware appelé SwiftSlicer déployé lors d’attaques récentes contre des cibles ukrainiennes. SwiftSlicer cible les fichiers critiques du système d’exploitation Windows et les bases de données Active Directory (AD). D’après les conclusions de l’équipe, le logiciel malveillant peut détruire les ressources du système d’exploitation et paralyser des domaines Windows entiers.
Les chercheurs identifiés le malware SwiftSlicer déployé lors d’une cyberattaque ciblant des points de vente technologiques ukrainiens. Le logiciel malveillant a été écrit à l’aide d’un langage multiplateforme appelé Golang, mieux connu sous le nom de Go, et utilise un Active Directory (AD) Stratégie de groupe vecteur d’attaque.
#RUPTURE Le 25 janvier #ESETRecherche a découvert une nouvelle cyberattaque en Ukraine. Les attaquants ont déployé un nouvel essuie-glace que nous avons nommé #SwiftSlicer à l’aide de la stratégie de groupe Active Directory. Les #SwiftSlicer wiper est écrit en langage de programmation Go. Nous attribuons cette attaque à #ver des sables. 1/3 pic.twitter.com/pMij9lpU5J
— Recherche ESET (@ESETresearch) 27 janvier 2023
L’annonce note que le logiciel malveillant identifié comme WinGo/Killfiles.C. Lors de l’exécution, SwiftSlicer supprime les clichés instantanés et écrase de manière récursive les fichiers, puis redémarre l’ordinateur. Il écrase les données en utilisant des blocs de 4 096 octets composés d’octets générés de manière aléatoire. Les fichiers écrasés se trouvent généralement dans %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS et plusieurs autres lecteurs non système.
Les analystes ont attribué le logiciel malveillant de type essuie-glace au groupe de piratage Sandworm, qui sert la Direction principale du renseignement de l’état-major russe (GRU) et le Centre principal des technologies spéciales (GTsST). La dernière attaque rappelle la récente Hermétique et CaddieEssuie-Glace épidémies déployées lors de l’invasion russe.
Les chercheurs ont noté que les pirates ont infecté les cibles dans les trois attaques d’essuie-glace via le même vecteur basé sur AD. Les similitudes dans les méthodes de déploiement amènent ESET à croire que les acteurs de Sandworm ont peut-être pris le contrôle des environnements Active Directory de leur cible avant de lancer l’attaque.
Dire que Sandworm est occupé depuis le conflit ukrainien serait un euphémisme. L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a récemment découvert une autre combinaison de plusieurs logiciels malveillants d’effacement de données déployés sur les réseaux de l’agence de presse Ukrinform. Les scripts malveillants ciblaient les systèmes Windows, Linux et FreeBSD et les infectaient avec plusieurs charges utiles malveillantes, notamment CaddyWiper, ZeroWipe, SDelete, AwfulShred et BidSwipe.
MISE À JOUR : UAC-0082 (suspect #ver des sables) pour cibler Ukrinform à l’aide de 5 variantes de logiciels destructeurs : CaddyWiper, ZeroWipe, SDelete, AwfulShred, BidSwipe.
Des détails: https://t.co/vFIiRvXm0u (UA uniquement)
— CERT-UA (@_CERT_UA) 27 janvier 2023
Selon le CERT-UA, les attaques n’ont été que partiellement couronnées de succès. L’un des packages de logiciels malveillants répertoriés par Sandworm, CaddyWiper, a également été découvert lors d’une attaque ratée qui visait l’un des plus grands fournisseurs d’énergie d’Ukraine en avril 2022. Les chercheurs d’ESET ont aidé lors de cette attaque en travaillant avec CERT-UA pour corriger et protéger le réseau.