PathWiper 맬웨어
우크라이나의 주요 기반 시설을 겨냥한 표적 사이버 공격에서 PathWiper라는 이름의 새로운 악성코드 변종이 발견되었습니다. 이 악성코드의 주요 목적은 국가 내 운영 능력을 교란하고 마비시키는 것입니다.
목차
합법적인 도구를 통한 은밀한 배포
공격자는 합법적인 엔드포인트 관리 도구를 사용하여 PathWiper 페이로드를 배포했습니다. 이러한 배포 방식은 공격자가 이전 침해를 통해 대상 시스템에 대한 관리 권한을 이미 획득했음을 시사하며, 공격의 정교함과 계획을 드러냅니다.
귀속: 익숙한 적이 돌아온다
이 사건을 조사 중인 사이버 보안 연구원들은 이 공격이 러시아와 연계된 지능형 지속 위협(APT)의 소행이라고 확신하고 있습니다. 관찰된 전술, 기법, 절차(TTP)는 우크라이나에 HermeticWiper를 배포한 것으로 알려진 위협 그룹인 Sandworm의 전술, 기법, 절차(TTP)와 매우 유사합니다.
PathWiper: HermeticWiper의 후속작으로 유력
PathWiper는 HermeticWiper와 상당한 유사점을 공유하며, 이는 이전 악성코드의 진화된 형태일 가능성을 시사합니다. 두 악성코드 모두 중요한 시스템 데이터를 손상시켜 최대의 피해를 입히는 것을 목표로 하며, 동작 방식이 겹친다는 것은 동일하거나 밀접하게 연관된 위협 집단이 관여함을 시사합니다.
다단계 공격 체인
이 맬웨어는 다단계 프로세스를 통해 실행됩니다.
- Windows 배치 파일이 악성 VBScript(uacinstall.vbs)를 트리거합니다.
- 스크립트는 탐지를 피하기 위해 합법적인 관리 도구처럼 위장한 핵심 페이로드(sha256sum.exe)를 삭제하고 실행합니다.
고급 드라이브 열거 및 볼륨 파괴
물리적 드라이브 열거에 집중했던 HermeticWiper와 달리, PathWiper는 로컬, 네트워크 및 마운트 해제된 볼륨을 포함하여 연결된 모든 드라이브를 프로그래밍 방식으로 식별하여 한 단계 더 나아갑니다. 그런 다음 Windows API를 활용하여 이러한 볼륨을 마운트 해제하여 사보타주에 대비합니다.
이 맬웨어는 각 볼륨에 대한 스레드를 생성하여 필수적인 NTFS 구조를 덮어쓰고, 사실상 시스템을 작동 불가능하게 만듭니다.
핵심 시스템 파일의 표적 파괴
PathWiper가 손상시키는 시스템 구성 요소는 다음과 같습니다.
- MBR(마스터 부트 레코드): 부트로더와 파티션 테이블이 들어 있습니다.
- $MFT(마스터 파일 테이블): 모든 파일과 디렉토리의 인덱스를 유지 관리합니다.
- $LogFile: 무결성과 복구를 위해 변경 사항을 추적합니다.
- $Boot: 부트 섹터와 파일 시스템 정보를 저장합니다.
또한, 다섯 개의 다른 중요한 NTFS 메타데이터 파일이 무작위 바이트로 덮어쓰여져 영향을 받은 시스템을 복구할 수 없게 됩니다.
몸값도 없고, 요구도 없다 - 오직 파괴만 있을 뿐이다
특히 PathWiper 관련 공격에는 어떠한 형태의 갈취나 몸값 요구도 포함되지 않았습니다. 이러한 부재는 금전적 이득이 아닌, 운영의 완전한 중단이라는 주요 목표가 있음을 보여줍니다.
와이퍼: 하이브리드 전쟁에서 반복되는 도구
우크라이나 전쟁 발발 이후, 데이터 와이퍼는 러시아 사이버 작전의 주요 특징이 되었습니다. 이러한 도구는 여러 캠페인에 사용되어 파괴적인 효과를 냈습니다. 탐지된 공격 캠페인에 사용된 다른 주요 와이퍼로는 CaddyWiper , HermeticWiper , IsaacWiper , AcidRain 등이 있습니다.
이들 각각은 사이버전을 통해 우크라이나 인프라를 불안정화하려는 더 광범위한 전략에서 역할을 했습니다.
결론: PathWiper는 위험한 진화를 나타냅니다
PathWiper는 우크라이나를 겨냥한 파괴적인 사이버 공격이 지속적으로 증가하고 있음을 보여주는 사례입니다. 첨단 회피 기법, 심층적인 시스템 수준의 사보타주, 그리고 알려진 러시아 APT를 지목하는 특징 등을 통해 PathWiper는 현대 사이버 분쟁 환경에 중대한 위협으로 작용합니다.
