🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
- الفئة: استخبارات الخصم
- الصناعة: متعدد
- التحفيز:برعاية الدولة
- المنطقة: أوكرانيا
- المصدر:A1
ملخص تنفيذي
الباحثون في كلاود سيكعثر فريق استخبارات التهديدات التابع لـ APT على سلالة من البرامج الضارة يطلق عليها اسم «Swiftslicer» مرتبطة بـ APT SandWorm. تم اكتشاف SwiftSlicer لأول مرة في أواخر يناير 2023 من قبل الباحثين في ESET ويعتبر من بين مجموعة من مجموعات البرامج الضارة التي تم تطويرها لاستهداف أوكرانيا خلال الحرب الروسية الأوكرانية، مثل هيرميتيكويبر وكادي وايبر
تحليل الويب المفتوح
استنادًا إلى تغريدة ESET، تم زرع البرامج الضارة في شبكات الأنظمة الأوكرانية باستخدام سياسة Active Directory Group Policy، وهي ناقل الهجوم الأولي المحتمل. ومع ذلك، أثناء كتابة هذا التقرير، لم يُعرف عن أي منظمات خارج أوكرانيا أنها مستهدفة من قبل Swiftslicer.
السلوك والإسناد
نُسبت الخصائص التالية إلى برنامج Swiftslicer الضار:
- تمت كتابة البرامج الضارة بلغة GO.
- يحاول حذف ملفات الظل، وهو سلوك معروف لمجموعات برامج الفدية.
(الأمر: تم حذف النسخة الاحتياطية من wmic) - يسقط ملفًا ثنائيًا في دليل سطح المكتب.
(C:\Users\Desktop\1db93ee81050da0ba413543f9fbc388499a466792f9a54ea6f1bbdb712ba9690.exe)
العلاقة بين سويفتسلر ودودة الرمل
Sandworm هي مجموعة APT معروفة تعمل بنشاط خارج روسيا وتُنسب إلى الوحدة العسكرية 74455 التابعة لمديرية المخابرات الرئيسية لهيئة الأركان العامة (GRU) للمركز الرئيسي للتقنيات الخاصة (GTSSt).
تستهدف APT Sandworm بنشاط الصناعات المختارة بعناية ومقرها في أوكرانيا. في سبتمبر 2022، نشرت Sandworm برامج ضارة في كيانات الاتصالات. تتضمن TTPs المعروفة أيضًا استغلال الأدلة النشطة للضحايا.
مؤشرات التسوية (IOCs)
استنادًا إلى نتائج VirusTotal وTriage، فيما يلي ملفات IOC المعروفة لبرامج Swiftslicer الضارة.
المراجع
- *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
- #https://en.wikipedia.org/wiki/Traffic_Light_Protocol
- دودة الرمل APT
- اكتشاف ESET لبرامج Swiftslicer الضارة
