Microsoft, 우크라이나 사이버 공격에 사용된 파괴적인 악성 코드 발견

우크라이나에 대한 사이버 공격에서 이전에 알려지지 않은 위협 그룹이 사용하는 새로 탐지된 WhisperGate 멀웨어

마이크로소프트는 토요일에 우크라이나 정부에 대한 사이버 공격에 사용되는 새로운 파괴적인 맬웨어에 대해 경고했습니다.

가능한 마스터 부트 레코드(MBR) 와이퍼에 의해 설명된 대로 Microsoft는 영향을 받는 장치의 전원이 꺼지고 랜섬웨어로 위장할 때 맬웨어가 실행되지만 몸값 복구 메커니즘이 없으며 파괴적이고 벽돌을 대상으로 하는 장치를 대상으로 한다고 말합니다.

기술 거인은 "맬웨어"라고 말합니다.위스퍼게이트"는 13년 2022월 XNUMX일 우크라이나의 피해자 시스템에 처음 등장했으며 모두 우크라이나의 여러 조직을 대상으로 했습니다.

Microsoft는 관찰된 활동(다음으로 추적하는 장치-0586) 및 기타 알려진 위협 그룹, 우크라이나 일요일에 "증거"가 있다고 말했다 러시아가 공격의 배후에 있다는 것을.

키예프의 민간 부문 사이버 보안 전문가 AP 통신에 말했다. 공격자는 공급망 공격에서 공유 소프트웨어 공급업체를 통해 정부 네트워크에 침투했습니다.

마이크로소프트는 "현재 마이크로소프트 가시성을 기반으로 조사팀은 영향을 받는 수십 대의 시스템에서 멀웨어를 식별했으며 조사가 계속됨에 따라 그 수는 늘어날 수 있다"고 말했다. 블로그 게시물. "이 시스템은 모두 우크라이나에 기반을 둔 여러 정부, 비영리 단체 및 정보 기술 조직에 걸쳐 있습니다."

MSTIC(Microsoft Threat Intelligence Center)는 공격과 관련된 침해 지표(IOC)와 함께 전술, 기술 및 절차(TTP)를 공유합니다.

[ 동영상: 사이버 보안의 더 나은 정보 공유에 대한 Microsoft의 John Lambert ]

마이크로소프트는 "이 공격자의 작전 주기의 현재 단계나 우크라이나 또는 기타 지리적 위치에 얼마나 많은 다른 피해자 조직이 존재할 수 있는지 알지 못한다"고 덧붙였다. "그러나 다른 조직이 보고하는 것처럼 이러한 영향을 받는 시스템이 영향의 전체 범위를 나타내지는 않을 것입니다."

우크라이나의 SBU 보안 서비스는 공격이 최소 70개의 정부 웹사이트를 목표로 했다고 밝혔습니다.

F-Secure의 Tactical Defense 선임 관리자인 Calvin Gan은 "랜섬웨어로 위장한 와이퍼 멀웨어의 존재는 새로운 것이 아닙니다."라고 말했습니다. SecurityWeek. “Microsoft가 WhisperGate 또는 DEV-0586이라고 부르는 것과 유사합니다. NotPetya 랜섬웨어로 위장한 와이퍼 악성코드이기도 한 2017년에 발견되었습니다. 당시 NotPetya는 우크라이나, 프랑스, 러시아, 스페인 및 미국의 많은 회사를 불구로 만들었습니다. 그리고 최근 중동의 표적 조직에서 와이퍼 악성코드를 활용한 SentinelOne의 연구원들이 추적한 Agius 그룹도 있습니다.”

맬웨어의 파괴적인 특성에 대해 언급하면서 Gan은 MBR을 덮어쓰면 시스템을 부팅할 수 없게 만들고 특히 맬웨어가 MBR을 덮어쓰기 전에 파일 내용을 덮어쓸 때 복구가 불가능하다고 상기시킵니다.

Gan은 "공격자가 파일 손상자와 결합한 와이퍼 랜섬웨어를 배포하려는 진정한 의도는 현재로서는 알 수 없지만 정부 기관 및 관련 기관을 대상으로 하는 것은 이러한 조직의 작업이 즉시 중단되기를 원한다는 신호입니다. 아마도 WhisperGate의 랜섬노트에 있는 비트코인 지갑 주소와 통신 채널은 공격자의 진정한 의도에 대한 관심을 돌리고 추적을 어렵게 만들기 위한 스모크 스크린일 것입니다.”