슬로바키아 사이버 보안 회사 측 연구팀 ESET은 최근 러시아-우크라이나 전쟁 시 사이버 공격에 주로 쓰여진 Malware 분석 관련 타임라인 정리본을 발표했다.
.
<연간 침투 내역>
- 2022년 2월 23일, HermeticWiper를 사용한 캠페인이 러시아 연방군의 우크라이나 침공 몇 시간 전 첫 발생되었으며,
적어도 5개의 우크라이나 조직에서 수백 개의 시스템을 목표로 한 것으로 보여진다.
HermeticWiper와 함께 HermeticWizard worm과 HermeticRansom faux 랜섬웨어도 본 캠페인에 배치되었다.
- 2022년 2월 24일 우크라이나 겨울이 풀리며 IssacWiper라 명명된 랜섬웨어를 사용, 우크라이나 정부 네트워크에 대한 2차 파괴 공격이 시작되었다.
- MS 측에서 공개한 또 다른 방식은 Desert Blade였으며, 2022년 3월 1일과 2022년 3월 17일 경에 주로 배포된 것으로 알려졌다고 공표했다.
- CERT-UA 측 보고 : 2022년 3월 17일 DoubleZero Wiper의 발견에 대해 보고했다.
- 2022년 3월 14일 ESET 연구원들은 우크라이나 은행을 겨냥한 CaddyWiper를 이용한 공격을 감지했다.
- 2022년 4월 1일, ESET 연구원으로부터 CaddyWiper 건이 재 탐지 접수되었다.
본 건에서는 ArguePatch loader(일반적으로 외부 파일에서 셸 코드를 로드하는 데 사용되는 수정된 합법적인 이진법)에 의해 로드되고 있었다고 발표되었다.
- 2022년 4월 8일, 침공 초기 이후 SandWorm(러시아 사이버 공격 단체) 측 공격에서 ArguePatch-CaddyWiper tandem 탐지.
- 2022년 5월 16일 ArguePatch가 수정된 ESET 이진수의 형태를 취한 유사한 시나리오를 감지했다.
- 2022년 10월 3일 우크라이나에 배치된 새로운 버전의 CaddyWiper를 감지했다.
이전에 사용된 변형들과는 달리, 이번에는 x64 윈도우 바이너리로 컴파일 되었다.
- 2022년 10월 5일, ESET팀은 Virustotal에 업로드된 새로운 버전의 HermeticWiper를 확인했다.
이 HermeticWiper 샘플의 기능은 이전 사례와 동일하지만 몇 가지 사소한 변경 사항이 있었던 것으로 확인되었다.
- 2022년 10월 11일, 우크라이나와 폴란드의 물류 회사들을 상대로 Prestige 랜섬웨어가 배치되는 것이 감지되었다.
같은 날, ESET팀으로부터 이전에 알려지지 않은 NikoWiper도 확인되었으며, 이 Wiper는 우크라이나의 에너지 분야의 한 회사를 상대로 사용되었다.
(NikoWiper는 파일을 안전하게 삭제하기 위해 SDelete Microsoft 명령줄 유틸리티를 기반으로 한다.)
- CERT-UA는 2022년 11월 11일 Somia faux 랜섬웨어를 이용한 공격에 대한 블로그 게시물을 게시했다.
- 2022년 11월 21일 우크라이나에서 새로운 랜섬웨어가 발견되었다.
본 리서치 팀이 RansomBoggs라고 이름 붙인 랜섬웨어는 POWERGAP 스크립트를 사용하여 이 파일의 인코더를 배포하는 점이 특징이다.
- 2023년 1월 1일, 우크라이나 소프트웨어 리셀러에서 SDelete 유틸리티의 실행을 감지한다.
- 2023년 1월 17일, CERT-UA 측에서 우크라이나 통신사에 대한 다중 Wiper를 사용한 또 다른 공격이 발생되었다고 보도했다.
이 공격에서 탐지된 Wiper는 CaddyWiper, ZeroWippe, SDelote, AbustShred 및 BidSwippe (FreeBSD OS Wiper 사용)이다.
- 2023년 1월 25일, 본 팀에서 SwiftSlicer라고 이름 붙인, Go언어로 개발된 새로운 Wiper가 우크라이나 지방 정부 기관에 배치되는 것을 감지했다.
위에서 언급한 거의 모든 사례에서 SandWorm은 Active Directory 그룹 정책(T1484.001)을 사용하여 Wiper와 랜섬웨어를 배포했으며, 특히 POWERGAP 스크립트를 사용했다.
러시아 APT 단체, 특히 SandWorm이 우크라이나 조직을 상대로 Wiper를 사용하는 것은 새로운 일이 아니다.
그러나 2022년 2월 러시아 군사 침략 이후 Wiper 캠페인이 두드러지게 나타난 것은 전례가 없는 일이며, 많은 공격들이 탐지되고 좌절되며 현재진행형으로 진행 중이다.
https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/
Comments
Post a Comment