러시아 외국 군사 정보국 GRU와 연계된 APT(Advanced Persistent Threat) 그룹인 Sandworm이 우크라이나 국영 통신사 Ukrinform에 속한 시스템에 서로 다른 XNUMX개의 와이퍼를 배치했습니다.
이번 공격은 국내 샌드웜의 최근 와이퍼 공격 XNUMX건 중 하나였다. 이러한 노력은 파괴적인 와이퍼 악성코드의 사용이 러시아 사이버 위협 행위자들 사이에서 인기 있는 무기로 증가하고 있다는 최근의 징후입니다. 목표는 우크라이나에서 러시아의 광범위한 군사 목표의 일환으로 우크라이나에서 표적이 된 조직의 작전에 돌이킬 수 없는 피해를 입히는 것입니다.
와이퍼의 메들리
우크라이나의 컴퓨터 비상 대응팀(CERT-UA)에 따르면 Ukrinform 공격은 부분적으로만 성공했으며 통신사 운영에는 영향을 미치지 않았습니다. 그러나 와이퍼가 의도한 대로 작동했다면 감염된 모든 시스템의 데이터를 지우고 덮어써 결국 쓸모없게 만들었을 것입니다.
CERT-UA 공격을 보고했다 지난 금요일 Ukrinform이 17월 XNUMX일 사건 조사를 요청한 후 공개되었습니다. CERT-CA는 자문에서 Sandworm이 통신사 시스템에 CaddyWiper, ZeroWipe, SDelete, AwfulShred 및 BidSwipe로 설치된 XNUMX가지 와이퍼 변종을 확인했습니다. 이 중 처음 XNUMX개는 Windows 시스템을 대상으로 했고 AwfulShred와 BidSwipe는 Ukrinform의 Linux 및 FreeBSD 시스템을 대상으로 했습니다. 흥미롭게도 SDelete는 Windows 파일을 안전하게 삭제하기 위한 합법적인 명령줄 유틸리티입니다.
CERT-UAs 권고의 번역된 버전은 "공격자들이 CaddyWiper 및 ZeroWipe 악성 프로그램과 합법적인 SDelete 유틸리티를 사용하여 사용자 컴퓨터의 정상적인 작동을 방해하려는 시도가 실패한 것으로 나타났습니다."라고 언급했습니다. "하지만 특히 여러 데이터 스토리지 시스템에서 부분적으로만 성공했습니다."
"SwiftSlicer" 와이퍼가 빛을 발하다
이와는 별도로 ESET은 지난 주 Sandworm 그룹이 배포한 또 다른 공격을 공개했습니다. SwiftSlicer라는 새로운 와이퍼 미확인 우크라이나 조직에 대한 고도의 표적 공격에서. 이 공격에서 Sandworm 그룹은 그룹 정책 객체를 통해 악성코드를 유포했으며, 이는 위협 행위자가 이미 피해자의 Active Directory 환경을 제어할 수 있음을 시사한다고 ESET은 말했습니다. CERT-UA는 Sandworm이 Ukrinform의 시스템에 CaddyWiper를 배포하기 위해 동일한 전술을 사용한다고 설명했습니다.
일단 실행되면 SwiftSlicer는 섀도우 복사본을 삭제하고 시스템 및 비시스템 드라이브의 파일을 재귀적으로 덮어쓴 다음 컴퓨터를 재부팅합니다. "덮어쓰기를 위해 임의로 생성된 바이트로 채워진 4096바이트 길이의 블록을 사용합니다."라고 보안 공급업체는 말했습니다.
우크라이나 조직에 대한 캠페인에서 Sandworm이 디스크 와이퍼 악성코드를 사용하는 것은 위협 행위자가 이러한 도구가 가지고 있다고 인식하는 파괴적인 힘을 보여주는 한 가지 지표입니다. Sandworm은 다음과 같은 맬웨어를 사용하여 우크라이나의 전력 인프라에 대한 세간의 이목을 끄는 공격으로 악명이 높아진 잘 알려진 국가 지원 위협 행위자입니다. 블랙 에너지, 그레이에너지, 그리고 최근에는 산업계.
Sandworm이 새로운 캠페인에서 디스크 와이퍼를 만연하게 사용하는 것은 위협 행위자가 러시아 침공 몇 주 전 우크라이나, 그리고 그 이후 몇 달 동안.
지난 2022월 Black Hat Middle East & Africa 세션에서 Trellix의 맬웨어 분석가인 Max Kersten은 20년 상반기에 실제 디스크 와이퍼에 대해 수행한 분석의 세부 정보를 공개했습니다. 연구원의 연구에서는 XNUMX개 이상의 해당 기간 동안 위협 행위자가 배포한 와이퍼 패밀리 중 다수가 우크라이나의 목표물에 대해 사용되었습니다. 더 많은 것의 몇 가지 예에는 다음과 같이 랜섬웨어로 가장한 와이퍼가 포함됩니다. WhisperGate 및 HermeticWiper, 및 IsaacWiper, RURansomw 및 캐디와이퍼.
연구원의 연구에 따르면 기능적 관점에서 디스크 와이퍼는 XNUMX년 이상 전에 발생한 "Shamoon" 바이러스 이후 거의 진화하지 않았습니다. Saudi Aramco의 수천 대 시스템. 주된 이유는 공격자가 일반적으로 시스템을 방해하고 파괴하기 위해 와이퍼를 배포하므로 다른 유형의 맬웨어가 성공하는 데 필요한 은폐 및 회피 기능을 구축할 필요가 거의 없기 때문입니다.
지금까지 위협 행위자들은 일반적으로 우크라이나에서 표적을 노리는 것과 동기가 다르기 때문에 미국에 있는 조직에 대해 비교적 드물게 디스크 삭제 맬웨어를 사용했습니다. 미국의 조직을 대상으로 하는 대부분의 공격은 금전적 동기가 있거나 스파이 활동 또는 사이버 스파이 활동을 목적으로 하는 경향이 있습니다. 그러나 그렇다고 해서 공격자가 미국에서 같은 종류의 파괴적인 공격을 가할 수 없다는 의미는 아니라고 분석가들은 경고했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/attacks-breaches/russia-sandworm-apt-swarm-wiper-attacks-ukraine
