우크라이나 기관을 타깃으로 하고 손상된 네트워크 시스템 전체에서 데이터를 삭제하는 공격에서 새로운 데이터 파괴 멀웨어가 발견되었다. ESET 연구소는 “이 새로운 악성코드는 연결된 드라이브에서 사용자 데이터와 파티션 정보를 삭제한다.”고 설명했다. ESET 원격 측정에 따르면 일부 기관의 수십 대 시스템에서 관찰되었다.

CaddyWiper는 배포된 윈도우 도메인 전체에서 데이터를 삭제하도록 설계되었고, DsRoleGetPrimaryDomainInformation() 함수를 사용해 장치가 도메인 컨트롤러인지 확인한다. 그럴 경우 도메인 컨트롤러의 데이터는 삭제하지 않는다.

이는 공격자가 공격 받은 기관의 손상된 네트워크 내부에 액세스를 유지하는 동시에, 다른 중요한 장치의 데이터를 삭제하여 운영을 방해하기 위한 전술일 가능성이 높다.

또한 공개되지 않은 우크라이나 기관 네트워크에서 발견된 악성코드 샘플의 PE 헤더를 분석하는 과정에서 악성코드가 컴파일된 당일 공격에 배포된 사실도 발견되었다.

ESET은 “CaddyWiper는 HermeticWiper, IsaacWiper 또는 우리가 알고 있는 기타 멀웨어와 중요한 코드 유사성을 가지고 있지 않다. 분석한 샘플에는 디지털 서명이 없었다. HermeticWiper 유포와 유사하게 CaddyWiper도 GPO를 통해 유포되는 것을 관찰했고, 이는 공격자가 사전에 대상 네트워크를 제어했음을 나타낸다.”고 덧붙였다.

CaddyWiper는 2022년 초 이후 우크라이나에서 공격에 배포된 네번째 데이터 와이퍼 멀웨어로, 이전에 ESET Research Labs에서 2개, 마이크로소프트에서 3번째 악성코드를 발견했다.

러시아의 우크라이나 침공이 시작되기 하루 전인 2월 23일, ESET 연구원들은 현재 HermeticWiper로 알려진 데이터 삭제 악성코드를 발견했다. 이 악성코드는 랜섬웨어 미끼와 함께 우크라이나를 표적으로 삼는데 사용되었다.

마이크로소프트는 1월 중순, 우크라이나를 타깃으로 한 데이터 삭제 공격에 사용된 WhisperGate로 추적되는 와이퍼가 랜섬웨어로 위장한 것을 발견했다. IsaacWiper로 명명한 데이터 와이퍼와 HermeticWiper라는 새로운 웜도 발견했다.

또한 1월 중순, 우크라이나 데이터 삭제 공격에 사용된 WhisperGate로 추적되는 와이퍼가 랜섬웨어로 위장한 사실도 발견했다.

우크라이나 보안국(Ukrainian Security Service, SSU)이 전쟁이 시작되지 직전에 설명했듯이 이러한 파괴적인 공격은 하이브리드 전쟁의 일부이다.

---

[G-PRIVACY 2022 개최-보안교육7시간 이수]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)

◇7시간 교육이수: 공무원·일반기업 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.

◇등록마감: 2022년 3월 28일 오후 5시까지

◇전시회: 국내외 최신 개인정보보호 및 정보보안 솔루션 전시

◇문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

◇사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★