제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

IsaacWiper 및 HermeticWizard: 우크라이나를 대상으로 하는 새로운 와이퍼 및 웜

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 287

ESET 연구원, 우크라이나 조직을 공격하는 새로운 와이퍼와 로컬 네트워크에서 HermeticWiper를 확산시키는 웜 구성 요소 발견

최근 러시아와 우크라이나 사이에 적대 행위가 시작되면서 ESET 연구원들은 우크라이나 조직을 표적으로 하는 여러 맬웨어군을 발견했습니다.

  • 월 23에서rd, 2022, HermeticWiper를 사용한 파괴적인 캠페인은 여러 우크라이나 조직을 대상으로 했습니다.
  • 이 사이버 공격은 러시아 연방군이 우크라이나를 침공하기 몇 시간 전에 시작되었습니다.
  • 초기 액세스 벡터는 조직마다 다릅니다. 우리는 GPO에 의해 와이퍼가 삭제된 XNUMX건의 사례를 확인했으며 다른 손상된 네트워크에서 와이퍼를 전파하는 데 사용되는 웜을 발견했습니다.
  • 맬웨어 아티팩트는 공격이 몇 달 동안 계획되었음을 시사합니다.
  • 월 24에서th, 2022년, 우리가 IsaacWiper라고 명명한 와이퍼를 사용하여 우크라이나 정부 네트워크에 대한 두 번째 파괴적인 공격이 시작되었습니다.
  • ESET Research는 아직 이러한 공격을 알려진 위협 행위자의 원인으로 지목할 수 없습니다.

우크라이나의 파괴적인 공격

이 ESETResearch에 명시된 바와 같이 짹짹WLS 블로그 포스트, 우리는 14월 52일 23시 XNUMX분경에 시작된 우크라이나의 컴퓨터에 대한 파괴적인 공격을 발견했습니다.rd, 2022년 UTC. 이는 DDoS(분산 서비스 거부)에 이어 주요 우크라이나 웹사이트에 대한 공격 그리고 러시아 군대의 침공보다 몇 시간 앞서 있었다.

이러한 파괴적인 공격은 최소한 세 가지 구성 요소를 활용했습니다.

  • 밀폐 와이퍼: 데이터를 손상시켜 시스템을 작동 불능 상태로 만듭니다.
  • 밀폐마법사: WMI 및 SMB를 통해 로컬 네트워크 전체에 HermeticWiper 배포
  • 신비한 몸값: Go로 작성된 랜섬웨어

HermeticWiper는 최소 XNUMX개의 우크라이나 조직에서 수백 대의 시스템에서 관찰되었습니다.

월 24에서th, 2022년, 우리는 우크라이나 정부 네트워크에서 또 다른 새로운 와이퍼를 감지했습니다. 우리는 그것을 IsaacWiper라고 명명했으며 현재 HermeticWiper와의 링크(있는 경우)를 평가하고 있습니다. 조직에서 본 적이 있다는 점에 유의하는 것이 중요합니다. 지원 HermeticWiper의 영향을 받습니다.

속성

이 시점에서 우리는 알려진 위협 행위자와의 가시적인 연관성을 찾지 못했습니다. HermeticWiper, HermeticWizard 및 HermeticRansom은 ESET 맬웨어 컬렉션의 다른 샘플과 중요한 코드 유사성을 공유하지 않습니다. IsaacWiper는 여전히 속성이 없습니다.

연혁

HermeticWiper 및 HermeticWizard는 다음에 할당된 코드 서명 인증서(그림 1 참조)로 서명됩니다. 허메티카 디지털 주식회사 13월 XNUMX일 발행th, 2021. 24월 XNUMX일 발급한 CA(DigiCert)에 인증서 철회 요청th, 2022.

그림 1. Hermetic Digital Ltd에 할당된 코드 서명 인증서

A에 따라 로이터 보고서, 이 인증서는 Hermetica Digital에서 도용되지 않은 것 같습니다. 대신 공격자가 DigiCert에서 이 인증서를 받기 위해 Cypriot 회사를 가장했을 가능성이 있습니다.

ESET 연구원은 영향을 받는 조직이 와이퍼를 배포하기 훨씬 전에 손상되었다는 확신을 가지고 평가합니다. 이것은 몇 가지 사실을 기반으로 합니다.

  • HermeticWiper PE 컴파일 타임스탬프, 가장 오래된 것은 28월 XNUMX일th, 2021
  • 13월 XNUMX일 코드서명 인증서 발급일th, 2021
  • 최소한 하나의 인스턴스에서 GPO를 통해 HermeticWiper를 배포하면 공격자가 피해자의 Active Directory 서버 중 하나에 사전에 액세스한 것으로 나타납니다.

이벤트는 그림 2의 타임라인에 요약되어 있습니다.

그림 2. 중요 이벤트 타임라인

초기 액세스

밀폐 와이퍼

초기 접근 벡터는 현재 알려지지 않았지만 우리는 표적 조직 내부에서 측면 이동의 인공물을 관찰했습니다. 한 엔터티에서 와이퍼는 시스템의 경로에 표시된 대로 기본 GPO(도메인 정책)를 통해 배포되었습니다.

C:Windowssystem32GroupPolicyDataStore

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.