RoarBAT 악성코드

우크라이나 정부 컴퓨터 비상 대응팀(CERT-UA)이 발표한 새로운 권고에 따르면 러시아 해킹 그룹 '샌드웜'이 우크라이나 국영 네트워크를 대상으로 한 사이버 공격에 책임이 있는 것으로 의심됩니다. 이 공격은 다단계 인증으로 보호되지 않는 손상된 VPN 계정을 악용하여 해커가 네트워크 내의 중요한 시스템에 액세스할 수 있도록 했습니다.

Sandworm 그룹이 대상 장치에 진입한 후 이전에 알려지지 않은 위협인 RoarBAT를 사용하여 Windows를 실행하는 시스템의 데이터를 삭제하고 Linux 운영 체제의 Bash 스크립트를 사용했습니다. 이것은 인기 있는 보관 프로그램인 WinRar를 사용하여 영향을 받는 장치에서 파일을 지움으로써 달성되었습니다. 이 공격은 우크라이나 정부의 IT 인프라에 심각한 피해를 입혔으며 이러한 공격으로부터 보호하기 위한 중요한 보안 수단으로서 다단계 인증의 중요성을 강조했습니다.

RoarBAT, 인기 있는 WinRAR 아카이브 애플리케이션을 악용하여 데이터 삭제

Sandworm 공격자는 Windows에서 'RoarBat'이라는 BAT 스크립트를 사용합니다. 이 스크립트는 doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar를 포함한 다양한 파일 형식에 대해 침해된 장치의 디스크와 특정 디렉터리를 스캔합니다. , 7z, mp4, SQL, PHP, rar, 7z 백, vib, vrb, p7s, sys, dll, exe, bin 및 날짜. 설정된 기준과 일치하는 모든 파일은 인기 있고 합법적인 WinRAR 아카이버 도구를 사용하여 보관됩니다.

그러나 공격자는 WinRAR을 실행할 때 '-df' 명령줄 옵션을 활용하여 보관 프로세스 중에 파일을 자동으로 삭제합니다. 또한 아카이브 자체는 완료 시 제거되므로 피해자의 장치에 있는 데이터가 영구적으로 삭제됩니다. CERT-UA에 따르면 RoarBAT는 그룹 정책을 통해 Windows 도메인 장치에 중앙 집중식으로 배포되는 예약 작업을 통해 실행됩니다.

해커는 Linux 시스템도 표적으로 삼음

사이버 범죄자들은 Linux 시스템에서 Bash 스크립트를 사용했습니다. 이 스크립트는 'dd' 유틸리티를 활용하여 대상 파일 형식의 내용을 0바이트로 대체하여 효과적으로 데이터를 삭제했습니다. 이 데이터 교체로 인해 dd 도구로 '비워진' 파일을 복구할 가능성은 거의 없습니다.

'dd' 명령 및 WinRAR과 같은 합법적인 프로그램을 사용하는 것은 공격자가 보안 소프트웨어의 탐지를 회피하는 것을 목표로 했음을 시사합니다.

우크라이나 표적에 대한 이전 공격과의 유사점

CERT-UA에 따르면 최근 Sandworm이 수행한 파괴적인 공격은 2023년 1월 우크라이나 국영 통신사인 'Ukrinform'에서 발생한 또 다른 공격과 놀라울 정도로 유사합니다. 위협적인 계획의 구현, 공격자가 사용한 IP 주소, 수정된 버전의 RoarBAT 사용은 모두 두 사이버 공격 간의 유사점을 가리킵니다.