资讯中心

俄罗斯赞助的团体 Sandworm 向乌克兰发起新一轮针对性攻击，使用了新的清除型恶意软件

2025-10-22 18:57:15 点击: 14

新型网络攻击：SwiftSlicer 针对乌克兰的行动

攻击时间：2023年1月25日攻击方：被指控的 SandWorm攻击类型：名为 SwiftSlicer 的清除型恶意软件发现机构：斯洛伐克网络安全公司 ESET编程语言：Go攻击影响：删除影子公司的文件，并对系统驱动器及非系统驱动器中的文件进行递归覆盖

最近，一场新的网络攻击被归因于 SandWorm，攻击目标是乌克兰。这次攻击被称为 SwiftSlicer，由斯洛伐克网络安全公司 ESET 发现。该攻击利用 Active Directory 组策略，且采用 Go 编程语言编写。

一旦被部署，SwiftSlicer 会删除影子公司，并在重启计算机之前递归地覆盖位于系统驱动器和其他非系统驱动器的文件。ESET 研究人员在推特上解释说，恶意软件通过使用 4096 字节长度的块，填充随机生成的字节来覆盖驱动器。

ESET 的推特帖子中包含已知的 IOC。

ESET 的威胁研究总监 JeanIan Boutin 告诉 SC Media，SwiftSlicer 恶意软件只在乌克兰被发现。Boutin 进一步指出，“新发现的 Sandworm 活动与之前的活动一致，因为 Sandworm 在乌克兰的操作中大量使用不同类型的清除型恶意软件。”

自 2022 年 1 月以来，清除型恶意软件变种在针对乌克兰的攻击中扮演了重要角色。在俄罗斯入侵之前，微软曾揭露过一种针对乌克兰多行业的毁灭性清除型恶意软件变种，该恶意软件模仿了勒索软件的外观，但没有任何赎金恢复的功能。

无论是在乌克兰入侵之前，还是之后，由俄罗斯国家支持的威胁组织 Sandworm 在多个领域造成了严重破坏。该组织与 2017 年针对健康行业的臭名昭著的 NotPetya 网络攻击，以及 2015 和 2016 年发起的乌克兰电网攻击有关联。

俄罗斯赞助的团体 Sandworm 向乌克兰发起新一轮针对性攻击，使用了新的清除型恶意软件

自 2022 年初以来，该组织积极针对众多乌克兰机构。最近的检测出现在 11 月，ESET 研究将新出现的 NET 基础 RansomBoggs 勒索软件变种与 Sandworm 相关联，这显示该组织在战术和传播方式上的一致性。

11 月的攻击活动利用 PowerShell 脚本来分发勒索软件，其过程与 2022 年 4 月的 Industroyer2 恶意软件攻击几乎一致。POWERGAP PowerShell 脚本在此次攻击中被施用，使 CaddyWiper 恶意软件能够通过 ArguePatch 加载器进行传递。

Sandworm 的行动还与俄罗斯支持的 Iridium 有关联，后者可能实施了针对乌克兰和波兰的运输及物流组织的 Prestige 勒索软件攻击。这两个组织在乌克兰战争期间保持活跃，并与自冲突开始以来的多起破坏性攻击有关联。

尽管俄罗斯在去年的 2 月，臭名昭著地干扰了 ViaSat 卫星，旨在支援军事通信能力，但网络战争在乌克兰的影响要远低于预测。然而，俄罗斯始终以破坏性攻击和情报收集的方式保持着持续的存在。

乌克兰国家实体遭受网络间谍攻击媒体

拉美黑客活动组织Guacamaya的分析媒体

轻蜂助您极速畅游网络，无惧地域限制，全球连线只需一键。随时享受稳定安全的网络环境，开启更自由的在线体验。体验前所未有的速度与便捷，轻松让世界触手可及。