애시드레인 악성코드
사이버 보안 연구원들은 우크라이나 대상 공격에 활용된 또 다른 데이터 와이퍼 멀웨어를 발견했습니다. AcidRain이라는 이름의 이 위협은 위성 관리 모뎀을 방해하기 위한 유해한 공격의 일부로 배포되었습니다. 공격은 2022년 2월 24일 발생했으며 SATCOM 모뎀의 데이터를 삭제하고 사용할 수 없게 만드는 방식으로 KA-SAT 위성 광대역 서비스를 표적으로 삼았다.
맬웨어 위협은 무차별 대입 공격을 통해 장치에 침입한 다음 침해된 시스템에서 찾은 모든 단일 파일을 지우도록 설계되었습니다. 일단 배포되면 AcidRain은 감염된 모뎀의 전체 파일 시스템을 통과합니다. 또한 플래시 메모리, SD/MMC 카드 및 모든 가상 블록 장치를 지울 수 있습니다. 식별 가능한 모든 장치를 사용하여 사악한 목표를 달성하려고 합니다. 감지된 파일은 최대 0x40000바이트의 데이터를 덮어쓰면서 내용을 파기합니다. AcidRain은 또한 MEMGETINFO, MEMUNLOCK, MEMERASE 및 MEMWRITEOOB라는 IOCTL(입력/출력 제어) 시스템 호출을 활용합니다. 파일을 삭제한 후 맬웨어는 장치를 재부팅하여 사용할 수 없는 상태로 남깁니다.
위협적인 작업을 발견하고 분석한 연구원들은 모뎀과 라우터를 지우도록 특별히 설계된 와이퍼를 전달한 공급망 공격으로 설명했습니다. 그러나 표적 장치의 제조업체인 Viasat는 공급망 간섭의 증거를 찾지 못했다고 말하면서 그 결론을 반박했습니다. 회사는 여전히 합법적인 관리 명령을 사용하여 AcidRain 악성코드의 파괴적인 실행 파일이 장치에 배포되었음을 인정했습니다.
