새로운 데이터 와이핑 악성코드인 CaddyWiper, 우크라이나 네트워크 공격해

New CaddyWiper data wiping malware hits Ukrainian networks

 

오늘 일찍이 발견된 새로운 데이터 파괴 악성코드가 우크라이나 조직을 노려 해킹된 네트워크의 시스템 전체의 데이터를 삭제하는 공격을 실행한 것으로 나타났습니다.

 

ESET Research Labs는 아래와 같이 설명했습니다.

 

"이 새로운 악성코드는 연결된 드라이브에서 사용자 데이터 및 파티션 정보를 삭제합니다.”

 

"ESET의 원격 측정에 따르면, 일부 조직 내 시스템 수십 대에서 발견되었습니다.”

 

CaddyWiper는 배포된 윈도우 도메인의 데이터를 지우도록 설계되었으며 DsRoleGetPrimaryDomainInformation() 함수를 사용하여 기기가 도메인 컨트롤러인지 확인합니다. 맞을 경우 도메인 컨트롤러의 데이터는 삭제하지 않습니다.

 

이는 공격자가 조직의 해킹된 네트워크 내 접근 권한을 유지하는 동시에, 다른 중요한 기기의 데이터를 삭제해 운영을 크게 방해하기 위한 전술일 가능성이 높습니다.

 

한 비공개 우크라이나 조직의 네트워크에서 발견된 악성코드 샘플의 PE 헤더를 분석하던 중, 연구원들은 악성코드가 컴파일된 당일 공격에 배포된 사례를 발견했습니다.

 

"CaddyWiper는 HermeticWiper, IsaacWiper 등 이미 알려진 다른 악성코드와 핵심 코드를 공유하지 않았습니다. 우리가 분석한 샘플은 디지털 서명이 없었습니다.”

 

"HermeticWiper의 배포방식과 유사하게, CaddyWiper 또한 GPO를 통해 배포되는 것을 발견했습니다. 이는 공격자가 이미 사전에 타깃 네트워크를 제어할 수 있었음을 나타냅니다.”

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1503436437848571914>

 

 

올해 들어 우크라이나에서 네 번째로 발견된 데이터 와이퍼

 

CaddyWiper는 2022년 초 이후 우크라이나를 노린 공격에 배포된 네 번째 데이터 와이퍼 악성코드입니다. 이전에는 ESET Research Labs 분석가가 2개, 마이크로소프트에서 3번째 악성코드를 발견했습니다.

 

러시아의 우크라이나 침공이 시작되기 하루 전인 2월 23일, ESET 연구원들은 현재 HermeticWiper로 알려진 데이터 와이핑 악성코드를 발견했습니다. 이 악성코드는 랜섬웨어 미끼와 함께 우크라이나를 노리는 데 사용되었습니다.

 

그들은 또한 아이작와이퍼(IsaacWiper)라고 명명한 데이터 와이퍼와 러시아가 우크라이나를 침공하던 날 드롭된 새로운 웜인 HermeticWizard를 발견했습니다.

 

또한 마이크로소프트는 1월 중순 우크라이나를 노린 데이터 삭제 공격에 사용된 와이퍼인 WhisperGate가 랜섬웨어로 위장한 것을 발견했습니다.

 

우크라이나 보안국에서 전쟁이 시작되기 직전에 설명했듯이 이러한 파괴적인 공격은 "거대한 하이브리드 전쟁 웨이브" 중 일부입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/

https://twitter.com/ESETresearch/status/1503436440398712832 (IOC)