우크라이나 기업, DoubleZero 와이퍼에 공격당해

Ukrainian enterprises hit with the DoubleZero wiper

 

우크라이나의 CERT-UA가 우크라이나 조직을 노린 악성코드 공격을 계속해서 관찰하고 있다고 밝혔습니다. 최근에는 DoubleZero라는 와이퍼를 사용하는 공격에 대해 경고했습니다.

 

해당 정부의 CERT는 2022년 3월 17일부터 이 캠페인을 발견했으며, 공격자는 악성코드를 사용하여 스피어 피싱 공격을 실행했습니다.

 

압축파일에는 난독화된 .NET 프로그램이 포함되어 있으며, 분석 결과 해당 프로그램은 감염된 시스템을 파괴하기 위해 개발된 것으로 나타났습니다. 전문가들은 이를 ‘DoubleZero’라 명명했습니다.

 

CERT-UA는 권고를 발행해 아래와 같이 밝혔습니다.

 

“2022년 3월 17일 우크라이나 CERT-UA의 컴퓨터 비상 사태에 대응하는 정부 팀은 ZIP 압축파일 다수를 발견했습니다. 이 중 하나는 “Virus … extremely dangerous !!!. Zip”이었습니다."

 

"분석 결과, 프로그램은 C# 프로그래밍 언어를 사용하여 개발된 악성 파괴 프로그램인 ‘DoubleZero’로 분류되었습니다."

 

DoubleZero는 파일 내용의 4096바이트를 0으로 덮어쓰거나 (FileStream.Write 사용), API 호출 NtFileOpen, NtFsControlFile(코드: FSCTL_SET_ZERO_DATA)을 사용합니다.

 

악성코드는 감염된 시스템을 종료하기 전 윈도우 레지스트리인 HKCU, HKU, HKLM, HKLM \ BCD를 제거합니다.

 

"이 공격은 UAC-0088로 등록되었으며, 우크라이나 기업 정보 시스템 운영을 해킹하려는 시도 직접적으로 관련이 있습니다."

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Agent.Wiper’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/129417/malware/doublezero-wiper-hit-ukraine.html

https://cert.gov.ua/article/38088 (IOC)