Lotus Wiper
사이버 보안 분석가들은 2025년 말부터 2026년 초 사이에 베네수엘라의 에너지 및 공공시설 부문을 대상으로 한 표적 공격에 사용된, 이전에는 보고되지 않았던 데이터 삭제 악성코드인 '로터스 와이퍼(Lotus Wiper)'를 발견했습니다. 이 악성코드는 감염된 시스템을 완전히 작동 불능 상태로 만들어 최대한의 파괴력을 발휘하도록 설계되었습니다.
목차
조직적인 공격 실행: 다단계 배포
이 공격은 치밀하게 계획된 작전을 수행하는 두 개의 배치 스크립트에 의존합니다. 이 스크립트들은 네트워크 전반의 활동을 동기화하고, 시스템 방어를 약화시키며, 최종 페이로드를 실행하기 전에 정상적인 운영을 방해합니다. 스크립트의 역할은 와이퍼 구성 요소를 검색하고, 난독화를 해제하고, 실행하여 파괴적인 단계로 원활하게 전환되도록 하는 것입니다.
체계적인 파괴: 로터스 와이퍼의 작동 방식
로터스 와이퍼가 활성화되면 시스템 기능과 복구 옵션을 모두 제거하는 포괄적인 데이터 삭제 프로세스를 실행합니다. 이 프로그램의 파괴적인 기능은 다음과 같습니다.
- 복원 지점을 포함한 복구 메커니즘 제거
- 물리적 드라이브 섹터를 0으로 채워진 데이터로 덮어쓰기
- 마운트된 모든 볼륨에서 파일 삭제
- 저널 권호의 업데이트 순서 번호(USN) 삭제
이러한 조치들은 종합적으로 영향을 받은 시스템이 기존의 방식으로는 복구되거나 재구축될 수 없도록 보장합니다.
의도 지표: 금전적 동기가 아님
랜섬웨어와 달리 로터스 와이퍼에는 협박 메시지나 지불 지침이 포함되어 있지 않습니다. 이는 해당 공격이 금전적 목적이 아닌 사보타주 또는 지정학적 동기에 의한 것임을 강력하게 시사합니다. 특히, 이 악성코드 샘플은 2025년 12월 중순, 미국 군사 활동이 있었던 2026년 1월 직전에 베네수엘라 시스템에서 공개적으로 유포되었습니다. 직접적인 연관성은 확인되지 않았지만, 시기적으로 동일 부문을 겨냥한 사이버 공격 보고가 증가한 시점과 일치하는 것으로 보아 매우 집중적인 공격이었음을 알 수 있습니다.
레거시 시스템 공격: 구식 환경 악용
공격 과정은 여러 단계를 거치는 배치 스크립트로 시작됩니다. 초기 단계 중 하나는 Windows Interactive Services Detection(UI0Detect) 서비스를 비활성화하려는 시도입니다. 이 서비스는 Windows 10 버전 1803 이후의 최신 Windows 버전에서 제거되었으므로, 이 악성 프로그램은 특히 구형 운영 체제를 대상으로 설계되었음을 알 수 있습니다.
이 스크립트는 NETLOGON 공유 폴더의 존재 여부를 확인하고 원격 XML 파일을 가져옵니다. 그런 다음 이 파일을 C:\lotus 또는 %SystemDrive%\lotus와 같은 디렉터리에 저장된 로컬 버전과 비교합니다. 이러한 동작은 시스템이 Active Directory 도메인에 속해 있는지 여부를 판단하는 데 사용될 가능성이 높습니다. 원격 파일을 찾을 수 없는 경우 스크립트는 종료되고, 찾을 수 있는 경우에는 최대 20분까지 임의의 지연 시간을 두고 연결을 재시도한 후 계속 진행됩니다.
환경 준비: 시스템 비활성화 및 중단
두 번째 배치 스크립트는 손상된 시스템의 작동 상태를 체계적으로 약화시켜 시스템을 파괴할 준비를 합니다. 해당 스크립트의 작업은 다음과 같습니다.
- 로컬 사용자 계정을 열거하고 캐시된 자격 증명을 비활성화합니다.
- 활성 사용자 세션 로그아웃
- 네트워크 인터페이스 비활성화
- diskpart clean all 명령을 실행하여 논리 드라이브를 지웁니다.
또한, 이 악성 프로그램은 robocopy와 같은 Windows 기본 유틸리티를 활용하여 파일을 덮어쓰거나 삭제하고, fsutil을 사용하여 사용 가능한 모든 디스크 공간을 소모하는 대용량 파일을 생성함으로써 복구 노력을 효과적으로 차단합니다.
최종 페이로드 실행: 돌이킬 수 없는 손상
준비 작업이 완료되면 Lotus Wiper 페이로드가 배포됩니다. 이 페이로드는 복원 지점을 삭제하고, 물리적 섹터를 덮어쓰고, 저널 레코드를 지우고, 마운트된 볼륨 전체에서 모든 시스템 파일을 제거하여 파괴 프로세스를 완료합니다. 이 단계에서는 외부 백업 없이는 복구가 사실상 불가능해집니다.
방어적 권고사항: 모니터링 및 완화
특히 중요 기반 시설 부문에 속한 조직들은 사전 예방적인 모니터링 및 탐지 전략을 채택해야 합니다. 주요 중점 분야는 다음과 같습니다.
NETLOGON 공유의 변경 사항 모니터링
자격 증명 유출 또는 권한 상승 시도 탐지
fsutil, robocopy, diskpart와 같은 기본 도구의 비정상적인 사용 추적
전략적 통찰: 이전 타협의 증거
구형 Windows 환경에 맞춰진 기능이 존재한다는 것은 사전 정찰 및 장기간의 접근 권한이 있었음을 시사합니다. 공격자는 목표 인프라에 대한 상세한 정보를 가지고 있었을 가능성이 높으며, 파괴적인 공격을 시작하기 훨씬 전에 도메인 환경을 침해했을 수도 있습니다.
