인더스트로이어2 및 CaddyWiper 악성코드 탐지: 우크라이나 전력시설을 공격하는 Sandworm APT

CERT-UA는 Microsoft 및 ESET와 협력하여 최근 보고했습니다 우크라이나 에너지 공급자를 대상으로 한 대규모 사이버 공격에 관해, 이는 인류 역사상 두 번째 정전 공격을 의미합니다. 이번 최신 활동은 러시아와 연계된 샌드웜 APT 그룹 에 의해 수행되었으며, UAC-0082로 추적되고 있습니다.

이번 공격에서 공격자들은 악명 높은 최신 샘플인 Industroyer2를 활용했습니다. Industroyer 악성코드 는 전력망을 공격하도록 설계된 제품군으로, 2017년 6월 ESET 연구자들에 의해 처음 발견되었습니다. 2017년 사이버 공격은 우크라이나 전력 회사의 주요 인프라를 마비시킨 흉악한 BlackEnergy 악성코드 에 의해 유발된 대규모 정전에 기인합니다.

최근 우크라이나 전력 시설에 대한 사이버 공격에서, Industroyer 악성코드 변종을 사용하는 것 외에도 Sandworm APT 그룹은 악명 높은 데이터 와이퍼인 CaddyWiper를 활용했습니다. 후자는 HermeticWiper and WhisperGate 의 공격이 우크라이나 조직을 목표로 했던 사건에 뒤이어 등장한 또 다른 데이터 삭제 악성코드입니다.

Industroyer Reloaded: Sandworm이 우크라이나 전력망을 마비시키기 위해 Industroyer2를 배포하다

CERT-UA는 ESET 및 Microsoft의 사이버 보안 전문가와 협력하여 우크라이나 에너지 공급자를 대상으로 한 대규모 사이버 공격을 저지했습니다. 이는 러시아가 지원하는 Sandworm APT가 우크라이나의 주요 인프라를 방해하기 위해 철저히 계획한 인류 역사상 두 번째 정전 공격입니다.

ESET 분석에 따르면, 악의적인 행위는 최소한 2주 전에 해커들에 의해 준비되었으며, 공격 발사는 2022년 4월 8일로 예정되었습니다. Sandworm의 위협 행위자들은 악명 높은 Industroyer 악성코드의 후속작인 Industroyer2를 배포하여 우크라이나의 고압 전기 변전소의 운영을 방해하려고 계획했습니다.

ICS 기능을 갖춘 악성코드 외에도 해커들은 여러 와이퍼 제품군을 사용했습니다. 특히, CERT-UA는 최근에 밝혀진 CaddyWiper 이 Windows OS를 실행하는 개인용 컴퓨터, 서버 및 자동화된 공정 제어 시스템에 대해 적용되었음을 보고하고 있습니다. Linux 기반 시스템의 경우, 공격자들은 RSHRED, SOLOSHRED 및 AWFULSHRED 데이터 삭제 스크립트를 활용했습니다. 아마도, 와이퍼는 Industroyer2의 흔적을 지우고 전력망 운영자들이 ICS 콘솔의 제어권을 다시 찾는 것을 복잡하게 만들기 위한 추가적인 의도로 배포되었을 것입니다.

The 샌드웜 그룹 은 러시아의 총참모부 주요 정보국(GRU) 산하 주요 기술군(GTsST) 군 단위 74455에 기속되었음을 알고 있습니다. 2015-2017년 동안, 샌드웜은 악명 높은 BlackEnergy 및 Industroyer 악성코드 샘플을 사용하여 우크라이나의 중요한 인프라를 반복적으로 공격했습니다. 전력망 성능의 붕괴는 전국의 대규모 정전으로 이어졌으며, 사이버 위협이 물리적 장비 운용 자산에 심각한 피해를 준 인류 역사상 첫 번째 사례를 기록했습니다. 더 나아가, 2017년 악명 높은 NotPetya 악성코드 는 샌드웜 그룹에 의해 우크라이나 은행 기관을 마비시키기 위해 사용되었습니다. 이 사이버 공격은 전 세계적 위기로 발전하여 수백만 건의 사례가 손상되고 수십억 달러의 손실이 발생했습니다. 이후 2018년에는 러시아가 또 다른 치명적인 악성코드인 VPNFilter를 활용하여 Auly Chlorine Distillation Station을 공격했습니다. 마지막으로, 2020-2021년 동안 샌드웜 APT에 의한 여러 파괴적인 사이버 공격이 가속화되어 수많은 정부 기관과 기업이 공격을 받았습니다. 러시아 전쟁의 자세한 타임라인을 여기에서.

확인할 수 있습니다.

보안 전문가들은 Windows 및 Linux 로그 소스를 기반으로 하는 큐레이션된 Sigma 규칙 세트를 통해 그들의 인프라에서 Industroyer2 및 CaddyWiper 악성코드 계통을 포함한 가능한 사이버 공격을 탐지할 수 있습니다.

샌드웜 APT(UAC-0082)에 의한 사이버 공격 탐지를 위한 시그마 규칙

최신 샌드웜 APT(UAC-0082)의 활동을 위한 전용 탐지 내용을 쉽게 검색하기 위해, 앞서 언급된 모든 탐지 알고리즘은 #UAC-0082로 태그가 지정되어 있습니다.

이 탐지들은 SOC Prime의 Detection as Code 플랫폼의 등록된 사용자만이 활용할 수 있음을 유의하십시오. 이 탐지 스택에 포함된 모든 시그마 기반 규칙은 러시아 국가 지원 APT에 대항하는 500개 이상의 보너스 규칙의 일부로, 신용 카드 범위를 통해 이용 가능합니다. 각 구독 구매의 수익금의 100%는 우크라이나 Come Back Alive 재단에 기부됩니다. #Sigma2SaveLives subscription tier as part of 500+ bonus rules against russian state-backed APTs. 100% of revenue from each subscription purchase goes to the Ukrainian Come Back Alive Foundation. 

보안 전문가는 또한 SOC Prime의 Quick Hunt 모듈을 통해 위의 규칙 세트에서 큐레이션된 사냥 쿼리를 활용하여 러시아 관련 사이버 위협을 즉시 검색할 수 있습니다. 샌드웜 APT 그룹과 관련된 최신 위협을 사냥하는 방법에 대한 자세한 내용은 이 비디오 튜토리얼을 참조하십시오.

MITRE ATT&CK® 맥락

우크라이나 전력 시설을 목표로 한 샌드웜 APT 그룹/UAC-0082의 최신 파괴적 사이버 공격의 맥락을 탐색하기 위해, 전용 시그마 기반 탐지 규칙은 모든 관련 전술 및 기술을 다루는 MITRE ATT&CK 매트릭스 v.10에 맞추어져 있습니다.

보안 전문가는 또한 매핑된 TTPs가 포함된 다음 ATT&CK Navigator 파일 을 확인할 수 있습니다. 자세한 내용은 참고하십시오. 여기에서.