우크라이나 기업들, DoubleZero 와이퍼에 공격 당해

우크라이나 CERT-UA가 우크라이나 기관을 타깃으로 하는 멀웨어 공격이 계속 관찰되고 있고, 최근에는 더블제로(DoubleZero) 와이퍼를 사용한 공격을 수행 중이라고 경고했다.

시큐리티어페어스 보도에 따르면, CERT-UA는 2022년 3월 17일부터 해당 사이버 작전을 발견했고, 공격자는 악성코드를 사용해 스피어 피싱 공격을 시작했다. 아카이브에는 난독화된 .NET 프로그램이 포함되어 있었고, 전문가들은 이를 DoubleZero로 추적했다. 분석에 따르면 이 프로그램은 감염 시스템을 파괴하기 위해 개발되었다.

CERT-UA의 권고문은 “2022년 3월 17일 우크라이나 CERT팀이 여러 ZIP 아카이브를 발견했고, 그 중 하나는 Virus … extremely dangerous !!!. Zip”이었다. 분석 결과, 프로그램은 C# 프로그래밍 언어를 사용해 개발된 악성 파괴 프로그램인 DoubleZero로 분류되었다.”고 설명한다.

DoubleZero 와이퍼 파일들은 FileStream.Write를 사용해 파일 내용 4,096 바이트를 0으로 덮어씌우거나, NtFileOpen, NtFsControlFile(코드: FSCTL_SET_ZERO_DATA) API 호출을 사용한다.

악성코드는 감염된 시스템을 종료하기 전에 다음 윈도우 레지스트리 HKCU, HKU, HKLM, HKLM \ BCD를 제거한다.

침해 지표(IoC)를 보고하는 경고도 “이 공격은 UAC-0088 식별자로 추적되며, 우크라이나 기업 정보 시스템을 공격하려는 시도와 직접적인 관련이 있다”고 언급했다.

[G-PRIVACY 2022 개최-보안교육7시간 이수]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)