A New Destructive Malware Targeting Ukrainian Government and Business Entities
마이크로소프트의 사이버 보안 팀이 지난 토요일 우크라이나와 러시아 간의 긴장이 고조되는 가운데 정부, 비영리 단체, IT 기관을 노리는 새로운 파괴적인 악성코드 작업의 증거를 발견했다고 밝혔습니다.
마이크로소프트의 고객 보안 및 신뢰 담당 부사장인 Tom Burt는 "이 악성코드는 랜섬웨어로 위장하지만, 공격자가 활성화할 경우 감염된 컴퓨터 시스템을 작동하지 못하게 할 수 있다”고 밝히며, 중요한 행정부 또는 비상 대응 역할을 하는 정부 기관을 노렸다고 설명했습니다.
또한 "최근 웹사이트가 해킹된 정부 기관을 포함하여 공공 및 민간 부문을 고객으로 둔 웹사이트 관리 IT 회사” 또한 타깃이 되었다고 덧붙였습니다.
마이크로소프트는 1월 13일 이 악성코드를 처음으로 탐지했으며, 이를 코드명 "DEV-0586"으로 명명하며 이전에 문서화된 다른 그룹과 전술 및 절차가 중복되지 않는다고 밝혔습니다. 또한 이 악성코드는 취약한 시스템 수십 곳에서 발견되었으며, 조사가 계속됨에 따라 그 수는 계속해서 증가할 것으로 예상됩니다.
MSTIC(Microsoft Threat Intelligence Center) 및 DSU(Microsoft Digital Security Unit)에 따르면, 공격 체인은 아래 2단계로 이루어집니다.
- 디스크에서 운영 체제가 있는 위치를 식별하는 하드 디스크의 첫 번째 섹터인 마스터 부트 레코드(MBR)를 덮어쓰기하여 컴퓨터의 RAM에 로드될 수 있도록 해 피해자의 시스템에서 비트코인 지갑에 $10,000를 송금하도록 요구하는 가짜 랜섬노트를 표시합니다.
- 2단계 실행 파일은 디스코드 채널에서 호스팅되는 파일 손상 악성코드를 받아옵니다. 이는 확장자 189개를 가진 파일을 검색한 후 고정된 수의 0xCC 바이트로 내용을 변경할 수 없도록 덮어쓰고, 랜덤으로 보이는 4바이트 확장자로 각 파일의 이름을 변경합니다.
마이크로소프트는 “최근 활동하는 랜섬웨어는 랜섬노트에 지불 금액과 가상화폐 지갑 주소를 거의 포함하지 않고, 이 경우 랜섬노트에 사용자 지정 ID가 포함되어 있지 않다"는 이유로 이 악성코드는 사이버 범죄 랜섬웨어 활동이 아닐 것이라 밝혔습니다.
이는 지난 금요일 동유럽 국가의 수많은 정부 웹사이트가 해킹되어 우크라이나 국민에게 개인 데이터가 인터넷에 업로드되고 있다는 경고 메시지가 표시되면서 나온 것입니다. 우크라이나 보안국(SSU)은 러시아 정보기관과 관련된 해킹 그룹이 개입했다는 "징조"를 발견했다고 밝혔습니다.
MSITC는 "관찰된 침입의 규모를 감안할 때, 이 공격의 의도를 알아낼 수는 없었지만 우크라이나에 위치하거나 시스템을 갖춘 정부 기관, 비영리 단체, 기업에 높은 위험을 초래할 것으로 생각된다”고 밝혔습니다.
하지만 Reuters는 이 공격이 UNC1151 및 Ghostwriter로 알려진 벨로루시의 정보 스파이 그룹의 작업일 가능성이 있다고 보도했습니다. 사이버 보안 회사인 Mandiant는 2021년 11월 보고서에서 "UNC1151이 우크라이나 정부 기관에 여러 차례 중대한 침입을 감행했다”고 밝힌 바 있습니다.
출처:
https://thehackernews.com/2022/01/a-new-destructive-malware-targeting.html
https://blogs.microsoft.com/on-the-issues/2022/01/15/mstic-malware-cyberattacks-ukraine-government/
Goodwill, ShopGoodwill 플랫폼에서 데이터 침해 발생 사실 밝혀 (0) | 2022.01.17 |
---|---|
Microsoft Windows HTTP 프로토콜 스택 원격코드실행 취약점(CVE-2022-21907) 주의! (0) | 2022.01.17 |
Cisco, Unified CCMP 및 Unified CCDM의 치명적인 취약점 수정 (0) | 2022.01.14 |
AWS, 고객 데이터 노출 시킨 보안 취약점 수정 (0) | 2022.01.14 |
Night Sky 랜섬웨어, VMware Horizon 서버 해킹에 Log4Shell 악용해 (0) | 2022.01.13 |
댓글 영역