پژوهشگرهای شرکت امنیتی ESET پرده از وجود یک بدافزار به نام WinGo/Killfiles.C برداشتهاند که فقط یک هدف دارد و آن نابودسازی فایلها است. طبق بررسیها این بدافزار قادر به پاک کردن منابع سیستم عامل و از کار انداختن کل شبکه است. جزئیات را در شهر سخت افزار بخوانید.
این پژوهشگرها موفق به شناسایی گونه جدیدی از بدافزار SwiftSlicer به نام WinGo/Killfiles.C شدهاند که در حملات علیه زیرساختهای فناوری اوکراین به خدمت گرفته شده است. بدافزار مورد بحث با استفاده از زبان Golang نوشته شده است و از الگوی حمله Active Directory (AD) Group Policy استفاده میکند. Golang یا Go یک زبان برنامه نویسی چند پلتفرمی است و با سیستم عاملهای مختلف سازگاری دارد.
بدافزار WinGo/Killfiles.C در زمان اجرا اقدام به حذف Shadow Copy میکند تا فایلها قابل بازیابی نباشند. سپس این بدافزار نابودگر فایلهای با بلاکهای 4096 بیتی حاوی بیتهای تصادفی بازنویسی میکند تا محتوای آنها از بین برود. در نهایت هم WinGo/Killfiles.C خود ویندوز را از کار می اندازد.
تحلیل گرها بدافزار WinGo/Killfiles.C را به گروه هکری Sandworm نسبت میدهند که گفته میشود مستقیماً برای حکومت روسیه کار میکند. این حمله جدید یادآور حملات HermeticWiper and CaddyWiper در خلال تجاوز نظامی روسیه به اکراین و قطعیهای بزرگ است.
پژوهشگرها متوجه شدهاند الگوی حمله هر سه بدافزار یکسان است، از همین رو ESET میگوید ممکن است هکرهای Sandworm پیش از هدف قرار دادن فایلهای کامپیوتر قربانی و نابودسازی آنها، موفق به در دست گرفتن کنترل Active Directory شده باشند.
چندی قبل مرکز CERT اوکراین خبر از کشف بستهای از چندین بدافزار نابودگر فایل داد که ویندوز، لینوکس و FreeBSD را هدف میگرفتند. با این حال CERT-UA میگوید این حملات تنها تا حدودی موفق بودهاند. می دانیم ESET در دفع حملات به شبکه انرژی اوکراین در آوریل 2022 کمک کرده بود.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت