우크라이나 사이버 공격에 사용된 새로운 파괴적인 맬웨어

우크라이나 내전이 계속되면서 수도 키예프의 최근 황폐 소식과 현지 시장의 통행 금지령이 발표되면서 사이버 공간에서도 전투가 격화되고 있습니다. 보안 연구원들은 어제 여러 우크라이나 네트워크에서 새로운 종류의 파괴적인 맬웨어가 발견되었다고 보고했습니다.

새로운 맬웨어는 랜섬웨어처럼 데이터를 추출하거나 암호화하지 않고 와이퍼 역할을 합니다. 대신 위협적인 와이퍼 도구는 데이터 복구를 방지하기 위해 가능한 모든 것을 삭제하고 공간을 깨끗하게 지웁니다.

CaddyWiper는 파일, 파티션을 삭제합니다.

새로 발견된 이 도구는 CaddyWiper라는 이름이 붙었으며 악성 코드 연구원이 Twitter 게시물에 자세히 설명했습니다. 이것은 우크라이나에서 군사 분쟁이 시작된 이래로 우크라이나에서 야생에서 발견된 세 번째 위협적인 와이퍼입니다. 흥미롭게도 CaddyWiper의 페이로드는 완전히 새로운 것이며 우크라이나에서 시스템을 공격하는 데 사용된 바로 그 날에 컴파일되었습니다.

새로 출시된 멀웨어에 대한 또 다른 흥미로운 세부 사항은 데이터를 파괴하고 파티션을 삭제하는 동안 도메인 컨트롤러를 방해하지 않는다는 것입니다. 도메인 컨트롤러는 인증 요청을 처리하고 지정된 네트워크의 도메인 리소스에 액세스하는 책임이 있는 네트워크의 일부입니다. 이는 이 도구가 데이터 삭제의 주요 작업과 함께 손상된 시스템에 대한 확장된 액세스 권한을 운영자에게 제공하기 위한 것임을 의미할 수 있습니다.

이전에 손상된 네트워크로 확산되는 CaddyWiper

CaddyWiper 유포에 악용된 도구는 Microsoft 그룹 정책 개체 또는 GPO인 것으로 밝혀졌습니다. 그러나 손상된 네트워크의 최소 하나의 인스턴스에서 기본 GPO가 맬웨어를 전파하는 데 사용되었습니다. 이것은 그 자체로 CaddyWiper를 운영하는 제3자가 네트워크의 Active Directory 서비스에 대한 무단 액세스를 이미 획득했음을 시사합니다.

최근 몇 주 동안 우크라이나 목표물에 대한 사이버 공격에 사용된 이전의 위협 도구 2개는 HermeticWiper 및 IsaacWiper 입니다. 두 도구 모두 파괴적인 기능을 가지고 있었지만 코드와 관련하여 최신 CaddyWiper와 의미 있는 유사점을 공유하지 않았습니다.

CaddyWiper 도구가 우크라이나에서 사용되고 있다는 보고와 함께 이번에는 러시아 석유 회사 Rosneft를 겨냥한 또 다른 사이버 공격이 헤드라인을 장식했습니다. Rosneft의 독일 자회사는 Anonymous로 알려진 국제 핵티비스트 집단에 의해 공격을 받은 것으로 알려졌습니다. 보고서에 따르면 이 공격으로 20TB의 데이터가 유출되었습니다. 독일 당국은 공격을 조사하고 있습니다. Rosneft Deutschland 시설은 영향을 받지 않았습니다.