상세 컨텐츠

본문 제목

우크라이나 공격에 새로운 데이터 와이퍼 악성코드 사용돼

국내외 보안동향

by 알약4 2022. 2. 25. 13:00

본문

New data-wiping malware used in destructive attacks on Ukraine

 

사이버 보안 회사들이 우크라이나 네트워크를 노린 폭발적인 공격에 사용된 새로운 데이터 와이퍼 악성코드를 발견했습니다.

 

데이터 와이퍼는 데이터를 복구할 수 없도록 파괴시키고, 운영 체제가 올바르게 작동하지 않도록 기기의 데이터를 의도적으로 파괴하는 악성코드입니다.

 

금일 아침, 우크라이나 정부 기관과 은행이 DDoS 공격을 받아 웹사이트 운영이 중단되었습니다.

 

얼마 후 사이버 보안 회사인 Symantec ESET 또한 우크라이나 조직을 노린 사이버 공격에 사용된 새로운 데이터 와이퍼 악성코드를 발견했다고 밝혔습니다.

 

 

<이미지 출처 : https://twitter.com/threatintel/status/1496578746014437376>

 

 

Symantec의 기술 이사인 Vikram Thakur BleepingComputer 측에 아래와 같이 밝혔습니다.

 

"Symantec Threat Hunter의 원격 측정에 따르면 우크라이나, 라트비아, 리투아니아에서 새로운 와이퍼가 악성코드가 사용된 공격을 발견했습니다. 금융 및 정부 계약자가 타깃에 포함되어있었습니다.”

 

ESET 또한 이 새로운 데이터 와이퍼에 대한 기술적 분석 및 배포 방법이 포함된 자세한 내용을 트위터에 게시했습니다.

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1496581903205511181>

 

 

ESET에 따르면, Win32/KillDisk.NCV로 탐지되는 이 새로운 데이터 와이퍼는 현재 우크라이나 네트워크의 기기 수백 대에 배포된 것으로 나타났습니다.

 

이 사이버 공격이 지난 23일 발생했지만, ESET은 해당 악성코드가 20211228일 컴파일되었다고 밝히며 공격이 약 2개월 동안 준비 기간을 가졌을 것이라 설명했습니다.

 

BleepingComputer에서 분석 결과 해당 악성코드에는 아래와 같이 내장 드라이버인 DRV_X64, DRV_X86, DRV_XP_X64, DRV_XP_X86 4개가 포함되어 있었습니다.

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/>

<임베디드 드라이버>

 

  

이 드라이버는 윈도우의 'compress' 명령을 통해 압축되지만, 확장될 경우 되면 EASUS 데이터 복구 및 디스크 관리 소프트웨어 개발사의 소유인 'CHENGDU YIWO Tech Development Co., Ltd.'에서 서명됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/>

<임베디드 드라이버의 서명>

 

 

악성코드가 실행되면, 와이퍼는 위 드라이버 중 하나를 새 윈도우 서비스로써 설치합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/>

<데이터 와이퍼가 생성한 서비스>

 

 

드라이버 내부의 문자열은 해당 드라이버가 EASUS Partition Manager 프로그램에 속해 있음을 나타냅니다.

 

Disk

\Device\Harddisk%u\Partition0

\Device\EPMNTDRV

\DosDevices\EPMNTDRV

 

ESET은 악성코드가 컴퓨터를 재부팅시키기 전 이 EASUS 드라이버를 통해 기기의 파일을 손상시킨 것으로 추측했습니다.

 

보안 연구원인 Silas Cutler는 해당 데이터 와이퍼가 장치의 마스터 부트 레코드를 삭제해 기기를 부팅할 수 없는 상태로 만든다고 밝혔습니다.

 

ESET은 발견한 공격 사례 중 하나 이상이 개별 컴퓨터를 노린 것이 아니며, 윈도우 도메인 컨트롤러에서 직접 배포되었다고 밝혔습니다.

 

이는 공격자가 일정 기간 동안 해당 네트워크에 액세스했음을 나타냅니다.

 

ESET은 이에 대해 아래와 같이 설명했습니다.

 

"타깃 조직 중 한 곳에서, 해당 와이퍼는 디폴트 (도메인 정책) GPO에서 드롭되었습니다. 이는 공격자들이 Active Directory 서버를 제어했을 가능성이 있음을 나타냅니다.”

 

우크라이나 공격에 사용된 두 번째 와이퍼

이는 지난 두 달 동안 우크라이나 네트워크 사용된 두 번째 데이터 와이퍼 악성코드입니다.

 

지난 1, 마이크로소프트는 랜섬웨어로 위장한 파괴력 높은 데이터 와이퍼 악성코드가 여러 우크라이나 조직을 노린 공격에 사용되었다고 밝혔습니다.

 

해당 데이터 와이퍼는 'WhisperGate'라는 이름을 사용해 랜섬웨어 공격을 가장했으며, 특정 파일 확장자를 노렸으며 랜섬노트를 드롭했습니다.

 

하지만 이 악성코드는 실제로 파일을 손상시키고, 기기의 마스터 부스트 레코드를 삭제해 윈도우로 부팅하거나 파일에 접근할 수 없도록 하는 데이터 와이퍼였습니다.

 

해당 공격이 러시아에서 발생한 것은 아니지만, 해당 데이터 와이퍼는 과거 러시아 정부의 후원을 받는 공격자가 사용한 이력이 있습니다.

 

지난 2017년 공격자가 NotPetya 랜섬웨어를 통해 우크라이나 기업 수천 곳을 노렸을 때도 데이터 와이핑 공격이 수행되었습니다.

 

2020, 미국은 NotPetya 공격의 용의자로 러시아의 해킹 그룹의 일부인 "Sandworm"으로 추정되는 러시아 GRU 해커를 공식적으로 기소했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Agent.Wiper’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/

https://twitter.com/ESETresearch/status/1496581903205511181

https://twitter.com/threatintel/status/1496578746014437376

관련글 더보기

댓글 영역