제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

러시아 APT, 더욱 치명적인 AcidRain Wiper 악성코드 변종 출시

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 89

연구원들은 2022년 XNUMX월 러시아의 우크라이나 침공 직전에 우크라이나의 위성 광대역 서비스를 방해하기 위해 러시아 군사 정보국이 사용하는 와이퍼 악성 코드의 더 위험하고 많은 버전을 발견했습니다.

새로운 변종 "산성푸어,”는 이전 버전과 여러 가지 유사점을 가지고 있지만 MIPS 기반 시스템을 대상으로 한 AcidRain과 달리 X86 아키텍처용으로 컴파일되었습니다. 이 위협을 발견한 SentinelOne의 연구원에 따르면 새로운 와이퍼에는 AcidRain보다 훨씬 더 광범위한 표적에 대해 사용할 수 있는 기능도 포함되어 있습니다.

더욱 폭넓은 파괴 능력

SentinelOne의 수석 위협 연구원인 Tom Hegel은 “AcidPour의 확장된 파괴 기능에는 Linux UBI(Unsorted Block Image) 및 DM(Device Mapper) 로직이 포함되어 있으며 이는 핸드헬드, IoT, 네트워킹 또는 경우에 따라 ICS 장치에 영향을 미칩니다.”라고 말합니다. "SAN(저장 영역 네트워크), NAS(네트워크 연결 저장소) 및 전용 RAID 어레이와 같은 장치도 이제 AcidPour의 영향을 받을 수 있습니다."

AcidPour의 또 다른 새로운 기능은 감염된 시스템에서 악성 코드의 모든 흔적을 지우는 자체 삭제 기능이라고 Hegel은 말합니다. 그는 AcidPour가 AcidRain보다 전반적으로 상대적으로 더 정교한 와이퍼라고 말하면서 후자의 과도한 프로세스 포크 사용과 특정 작업의 부당한 반복을 전반적인 엉성함의 예로 지적했습니다.

SentinelOne은 2022년 XNUMX월 사이버 공격 이후 AcidRain을 발견했습니다. 약 10,000개의 위성 모뎀이 오프라인 상태가 됨 통신 제공업체인 Viasat의 KA-SAT 네트워크와 연결되어 있습니다. 이 공격으로 인해 우크라이나의 수천 명의 고객과 유럽의 수만 명의 소비자 광대역 서비스가 중단되었습니다. SentinelOne은 이 악성코드가 Sandworm(APT 28, Fancy Bear, Sofacy라고도 함)과 관련된 그룹의 작업일 가능성이 높다고 결론지었습니다. 수많은 파괴적인 사이버 공격 우크라이나에서.

SentinelOne 연구원은 16월 XNUMX일에 새로운 변종인 AcidPour를 처음 발견했지만 실제 공격에서 이를 사용하는 사람은 아직까지 관찰되지 않았습니다.

샌드웜 넥타이

와이퍼에 대한 초기 분석에서는 AcidRain과 여러 가지 유사점이 밝혀졌으며 이후 심층 분석을 통해 이를 확인했습니다. SentinelOne이 발견한 주목할 만한 중복 사항에는 AcidPour가 AcidRain과 동일한 재부팅 메커니즘을 사용하고 반복적인 디렉터리 삭제를 위한 동일한 논리가 포함되었습니다.

SentinelOne은 또한 AcidPour의 IOCTL 기반 삭제 메커니즘이 AcidRain 및 VPNFilter의 삭제 메커니즘과 동일하다는 사실을 발견했습니다. 모듈식 공격 플랫폼 미국 법무부가 가지고 있는 샌드웜과 연결됨. IOCTL은 특정 명령을 장치에 전송하여 저장 장치에서 데이터를 안전하게 지우거나 지우는 메커니즘입니다.

“AcidPour의 가장 흥미로운 측면 중 하나는 실용적인 코딩 스타일을 연상시키는 코딩 스타일입니다. 캐디와이퍼 다음과 같은 주목할만한 악성 코드와 함께 우크라이나 대상을 대상으로 광범위하게 활용되었습니다. 산업체 2"라고 SentinelOne이 말했습니다. CaddyWiper와 Industroyer 2는 모두 러시아의 지원을 받는 국가 그룹이 2022년 XNUMX월 러시아가 우크라이나를 침공하기 전부터 우크라이나의 조직을 파괴적으로 공격하는 데 사용하는 악성 코드입니다.

SentinelOne은 우크라이나의 CERT가 AcidPour를 분석한 결과 Sandworm 그룹에 속한 위협 행위자인 UAC-0165의 소행이라고 밝혔습니다.

AcidPour와 AcidRain은 최근 몇 년간, 특히 현재 양국 간 전쟁이 시작된 이후 러시아 공격자들이 우크라이나 목표물을 상대로 배치한 수많은 와이퍼 중 하나입니다. 위협 행위자가 Viasat 공격으로 수천 대의 모뎀을 오프라인 상태로 만들었음에도 불구하고 회사는 악성 코드를 제거한 후 모뎀을 복구하고 재배포할 수 있었습니다.

하지만 다른 많은 경우에는 와이퍼 공격으로 인해 조직에서 시스템을 폐기해야 하는 경우도 많습니다. 가장 주목할 만한 사례 중 하나는 2012년이다. 샤먼 Saudi Aramco에 대한 와이퍼 공격으로 인해 회사의 약 30,000개 시스템이 손상되었습니다.

Shamoon 및 AcidRain의 경우와 마찬가지로 위협 행위자는 일반적으로 효과적인 와이퍼를 정교하게 만들 필요가 없습니다. 왜냐하면 악성 코드의 유일한 기능은 시스템의 데이터를 덮어쓰거나 삭제하여 쓸모 없게 만드는 것이기 때문입니다. 회피 전술 데이터 도난 및 사이버 스파이 공격과 관련된 난독화 기술이 필요하지 않습니다.

와이퍼에 대한 최선의 방어 또는 이로 인한 피해를 제한하는 방법은 랜섬웨어와 동일한 종류의 방어를 구현하는 것입니다. 이는 중요한 데이터에 대한 백업을 마련하고 강력한 사고 대응 계획 및 기능을 보장하는 것을 의미합니다.

네트워크 세분화도 중요합니다. 와이퍼는 다른 시스템으로 확산될 수 있을 때 더 효과적이어서 이러한 유형의 방어 태세가 측면 이동을 방해하는 데 도움이 되기 때문입니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.