CaddyWiper 탐지: 우크라이나 네트워크를 공격하는 또 다른 파괴적인 데이터 와이퍼

사이버 공간은 러시아-우크라이나 전쟁에서 또 다른 전선입니다. 러시아가 지원하는 대규모 사이버 공격 은 우크라이나에 대한 군사 공격을 동반하여, 우크라이나 인프라의 주요 요소를 오프라인 상태로 만들려는 목적을 가지고 있습니다. 새로 발견된 CaddyWiper 멀웨어는 이전에 밝혀진 사이버 위협에 부담을 더합니다 – HermeticWiper, WhisperGate, 그리고 IsaacWiper. 새로운 데이터 삭제 멀웨어는 다른 멀웨어 패밀리와 유사점을 갖고 있지 않습니다.

CaddyWiper 탐지

이 데이터 삭제 멀웨어를 탐지하려면, 숙련된 위협 헌터 Osman Demir:

가 제공한 다음 Sigma 기반 규칙을 사용하십시오

이 Sigma 기반 탐지를 이용하려면, 현재 계정으로 로그인하거나 플랫폼에 가입하세요.

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, 및 Open Distro.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 디스크 삭제(Disk Wipe) (T1561)을 주요 기술로 하고 디스크 콘텐츠 삭제(Disk Content Wipe)(T1561.001) 하위 기술로 충격 전술을 다루고 있습니다.

위의 Sigma 탐지 외에도, 우리는 최고 수준의 Threat Bounty 개발자인 Antonio Farina:

에게서 YARA 규칙을 활용할 수 있습니다

다른 취약점을 탐지하려면, SOC Prime 플랫폼의 Threat Detection Marketplace repository에 사용할 수 있는 규칙의 전체 목록 을 참조하십시오. 직접 콘텐츠를 제작하시나요？ Threat Bounty 프로그램에 의해 지원되는 세계 최대의 사이버 방어 커뮤니티와 힘을 합치고, 귀하의 탐지 콘텐츠를 공유하여 안정적인 수익을 올리세요.

탐지 보기 Threat Bounty 합류하기

CaddyWiper 분석

2022년 러시아의 공격이 시작된 이후, 우크라이나의 디지털 인프라를 무력화하고 국가의 안정을 저해하려는 파괴적인 사이버 공격의 물결이 우크라이나를 강타했습니다. 3월 14일, ESET 연구진은 CaddyWiper라고 불리는 새로운 데이터 삭제 멀웨어를 보고했습니다. 이는 부착된 드라이브의 데이터 및 파티션 정보를 파괴하도록 설계되었습니다.

현재 데이터에 따르면, 적들은 이 데이터 삭제 멀웨어의 일종으로 우크라이나 조직의 최대 10건의 해킹에 성공했습니다. CaddyWiper 배포 사례는 CaddyWiper와 HermeticWiper가 공유하는 하나의 전술적 유사성을 보여줍니다: CaddyWiper는 Windows 도메인 컨트롤러를 통해 타겟 시스템에 침투했습니다. 따라서 적들이 최근 HermeticWiper 공격과 유사한 방식으로 Active Directory 서버를 제어하고 있었음을 알 수 있습니다. 배포된 CaddyWiper는 도메인 컨트롤러의 데이터를 삭제하지 않고 공격의 배후에 있는 해커들이 지속적으로 작전을 방해할 수 있도록 합니다. 또 다른 세부 사항 — 발견된 샘플은 디지털 서명이 되어 있지 않고 컴파일되었습니다.

이처럼 혼란스러운 시기에 효율적인 사이버 보안 실천의 중요성을 과소평가할 수 없습니다. 협력적인 사이버 방어에 힘입어, SOC Prime은 러시아 지원 사이버 위협을 방어하기 위해 2,000개 이상의 Sigma 기반 탐지를 큐레이션하며, 모든 규칙은 이제 무료로 Quick Hunt 모듈을 이용하여 탐색할 수 있습니다. SOC Prime 플랫폼에 로그인하여 관련 위협을 Quick Hunt로 검색하세요:
러시아 발 위협에 대한 무료 사냥 콘텐츠

가입 SOC Prime의 Detection as Code 플랫폼 에 가입하여 업계 리더들의 힘으로 위협 탐지 역량을 강화하세요. 탐지 콘텐츠를 기여하고 협력적 방어를 촉진하는 방안을 찾고 계신가요? 함꼐하십시오 SOC Prime의 크라우드소싱 이니셔티브 와 함께하여 귀하의 Sigma 규칙 을 커뮤니티와 공유하고 더 안전한 사이버 공간에 기여하여 귀하의 귀중한 투입에 반복적인 보상을 받으세요!