위스퍼게이트

WhisperGate는 랜섬웨어로 위장한 위협적인 MBR(Master Boot Record) 와이퍼입니다. 맬웨어는 감염된 시스템을 파괴할 수 있습니다.부팅조차 할 수 없도록 합니다. 이 위협은 2022년 1월 13일 우크라이나의 여러 시스템에서 비정상적인 활동을 발견한 Microsoft 위협 인텔리전스 센터의 연구원에 의해 발견되었습니다. 지역 사이버 보안 전문가는 공격자가 공급망 공격을 통해 정부 네트워크를 감염시킬 가능성이 가장 높다고 AP 통신과 공유했습니다.

지금까지 공격은 알려진 APT(Advanced Persistent Threat) 그룹에 기인할 수 없습니다.그래서 연구원들은 사이버 범죄 현장의 신인 배우가 수행한 것으로 믿고 있습니다. 공격자는 여러 정부, 비영리 단체 및 정보 기술 조직에 속한 수많은 컴퓨터를 손상시키는 데 성공했습니다. 우크라이나 대표자들은 러시아가 공격의 배후라고 믿고 있다고 밝혔습니다. 이는 해당 지역의 지정학적 상황을 감안할 때 유력한 결론으로 보일 수 있다.

WhisperGate 작업의 1단계

WhisperGate 악성코드는 C:\PerfLogs, C:\ProgramData, C:\ 및 C:\temp 디렉토리 중 하나에 'stage1.exe'라는 파일로 손상된 시스템에 드롭됩니다. WhisperGate는 진정한 목적에서 관심을 돌리기 위해 랜섬웨어 위협에서 일반적으로 관찰되는 몇 가지 특성을 채택합니다. 공격자가 비트코인으로 10,000달러를 지불하기를 원한다고 주장하는 몸값 메모를 전달합니다. 돈은 제공된 암호화 지갑 주소로 이체되어야 합니다. 메모에는 피해자가 암호화된 메시징 프로토콜인 Tox용으로 제공된 Tox ID를 통해 해커에게 연락할 수 있다고 언급되어 있습니다. 그러나 감염된 시스템이 종료되면 WhisperGate는 운영 체제의 적절한 로드를 가능하게 하는 하드 드라이브의 일부인 MBR 레코드를 덮어씁니다.

WhisperGate는 MBR을 파괴하여 시스템을 차단합니다.공격자 스스로도 실패할 운명에 있는 데이터를 복원하려는 모든 시도를 효과적으로 수행합니다. 이는 사이버 범죄자가 피해자에게 영향을 받은 파일을 이전 상태로 되돌릴 수 있다는 확신을 줄 수 없는 경우 대가를 받지 못하기 때문에 모든 랜섬웨어 작업의 목표에 어긋납니다.안전하게. 랜섬웨어 부분이 공격자의 진정한 의도를 은폐하기 위한 용도로만 사용된다는 징후도 있습니다.

WhisperGate의 2단계

공격의 두 번째 단계에서는 새로운 전용 파일 손상 멀웨어가 침해된 장치에 배포됩니다. 'stage2.exe'라는 파일은 Discord 채널에서 파일 손상자를 가져오는 다운로더 역할을 합니다. 다운로드 링크는 다운로더 자체에 하드코딩되어 있습니다. 페이로드가 실행되면 시스템의 특정 디렉토리에서 180개가 넘는 확장자 목록과 일치하는 파일을 검색합니다. 모든 대상 파일의 내용은 고정된 수의 0xCC 바이트로 덮어씁니다. 작업에 대해 설정된 총 파일 크기는 1MB입니다. 파일을 스크램블한 후 손상자는 임의의 4바이트 확장자를 추가하여 원래 이름을 변경합니다.

추정되는 몸값 메모의 텍스트는 다음과 같습니다.

' 하드 드라이브가 손상되었습니다.
모든 하드 드라이브를 복구하려는 경우
귀하의 조직,
비트코인 지갑을 통해 10,000달러를 지불해야 합니다.
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv를 통해 메시지 보내기
독소 ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
귀하의 조직 이름으로.
추가 안내를 위해 연락드리겠습니다. '