Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Sandworm APT Deploys New SwiftSlicer Wiper Using Active Directory Group Policy

Tenable Research Cyber Exposure Alert for Sandworm APT Deploys New SwiftSlicer Wiper Using Active Directory Group Policy
Sandworm APT Deploys New SwiftSlicer Wiper Using Active Directory Group Policy

Sandworm, the Russian-backed APT responsible for NotPetya in 2017, has recently attacked an Ukrainian organization using a new wiper, SwiftSlicer.

Contexte

On January 27, ESET Research has published a thread on Twitter discussing its analysis of a new wiper malware used in a cyberattack in Ukraine. This new malware, dubbed "SwiftSlicer", was deployed in the target environment using Active Directory (AD) Group Policy. ESET has attributed the attack to Sandworm, an advanced persistent threat (APT) group most notably responsible for the NotPetya attacks in Ukraine in 2017.

Analyse

SwiftSlicer is a wiper malware written in the Go programming language. It was deployed against Ukrainian targets by using Domain Policy Modification: Group Policy Modification. Use of AD group policies indicates that, after gaining access to the target, the threat actor compromised the domain controller. SwiftSlicer then overwrites shadow copies, files in the driver directory "%CSIDL_SYSTEM%/drivers", NT Directory Services folder "%CSIDL_SYSTEM%/Windows/NTDS" and other non-system drives with random data before force rebooting the machine.

Sandworm, which has been operating since at least 2009, has targeted Ukraine in a years-long campaign, launching numerous high-profile attacks against Ukrainian infrastructure and entities, such as attacks on the national power grid in 2015 and 2016 and an attempted attack in 2022. The use of AD group policies is not new for Sandworm. In the first few months of 2022, two similar wiper variants, HermeticWiper and CaddyWiper, were dropped onto devices of target organizations in Ukraine using group policies.

Historical exploitation of vulnerabilities for initial access

Researchers from iSIGHT Partners detailed the Sandworm Team’s use of vulnerabilities as part of spearphishing attacks against targeted entities, including a zero-day in Windows Object Linking and Embedding (OLE), identified as CVE-2014-4114, as well as CVE-2013-3906, a remote code execution vulnerability in the Microsoft Graphics Device Interface (GDI+).

In 2020, the National Security Agency (NSA) issued a cybersecurity advisory detailing the Sandworm Team’s use of CVE-2019-10149, a remote command execution vulnerability in the Exim mail transfer agent.

In 2022, the Computer Emergency Response Team of Ukraine (CERT-UA) warned that Sandworm was observed exploiting CVE-2022-30190, a remote code execution vulnerability in the Microsoft Windows Support Diagnostic Tool (MSDT), also known as Follina.

Identification des systèmes affectés

Sandworm has been known to utilize zero days and spearphishing techniques to infiltrate networks and spread a variety of malware. As demonstrated in this attack, the group often takes advantage of AD in order to infect as many machines as possible. Their techniques are often destructive, as they continue to favor “wiper” type malware to render workstations inoperable, while generally leaving AD intact to maintain their foothold into a victims organization. We highly recommend reviewing your AD environment to focus on misconfigurations that may put your organization at risk. Tenable's Active Directory Security solution helps organizations gain visibility into your complex AD environment, predict what matters to reduce risk, and eliminate attack paths before attackers exploit them.

The Tenable One Exposure Management Platform extends beyond traditional vulnerability management, which concentrates on the discovery and remediation of publicly disclosed Common Vulnerabilities and Exposures (CVEs). A foundational part of any exposure management program, Tenable One includes data about configuration issues, vulnerabilities and attack paths across a spectrum of assets and technologies — including identity solutions (e.g., Active Directory); cloud configurations and deployments; and web applications.

Tenable has coverage for CVEs known to be used by Sandworm. A dynamic and filtered list can be found here.

Où trouver plus d'informations

Join Tenable's Security Response Team on the Tenable Community

Learn more about Tenable One, the Exposure Management Platform for the modern attack surface.

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de cyber-exposition.

tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Nessus Expert est désormais disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Professional.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre version d'essai Tenable Web Application Scanning inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.cs Cloud Security.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

Visualisez et explorez votre cyber-exposition, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Votre version d'essai Tenable Lumin inclut également Tenable.io Vulnerability Management, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayez Tenable.cs

Bénéficiez d'un accès complet aux fonctionnalités permettant de détecter et de corriger les mauvaises configurations de l’infrastructure cloud et de visualiser les vulnérabilités en runtime. Inscrivez-vous dès maintenant pour démarrer votre essai gratuit.Pour en savoir plus sur les évaluations de produits, cliquez ici.

Votre version d'essai Tenable.cs Cloud Security inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.io Web Application Scanning.

Contactez un commercial pour acheter Tenable.cs

Contactez un commercial pour en savoir plus sur Tenable.cs Cloud Security. Vous découvrirez avec quelle facilité et rapidité vous pourrez intégrer vos comptes cloud et obtenir une visibilité accrue sur vos mauvaises configurations et vos vulnérabilités dans le cloud en quelques minutes.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation