DoubleZero 파괴적 멀웨어, 우크라이나 기업 사이버 공격에 사용: CERT-UA 경고

이 기사는 CERT-UA의 원본 조사에 기반하고 있습니다: https://cert.gov.ua/article/38088.

2022년 3월 17일, 우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 우크라이나 기업을 표적으로 삼은 또 다른 파괴적 악성코드 사례를 발견했습니다. CERT-UA가 공개하고 DoubleZero라고 명명한 새 악성코드는 우크라이나를 최근 강타한 데이터 파괴 악성코드의 계열에 추가되며, 여기에는 CaddyWiper, HermeticWiper, 및 WhisperGate가 포함됩니다. 관련 IT 시스템을 사용 불가능하게 만들기 위해 이 악성코드는 파일을 삭제하고 감염된 기기의 특정 레지스트리 분기를 파괴합니다.

DoubleZero 공격에 대한 CERT-UA의 조사

CERT-UA는 여러 ZIP 아카이브를 식별했으며, 그 중 하나의 이름은 Вирус… крайне опасно!!!.zip입니다. 각 아카이브에는 난독화된 .NET 프로그램이 포함되어 있습니다. 분석 후 확인된 프로그램들은 C# 프로그래밍 언어로 개발된 파괴적 악성코드 DoubleZero로 분류되었습니다. 두 가지 방법 중 하나로 파일을 삭제합니다: 4096바이트의 제로 블럭으로 파일을 덮어쓰는 방식(FileStream.Write 메소드) 또는 NtFileOpen, NtFsControlFile API 호출을 사용하는 방식(코드: FSCTL_SET_ZERO_DATA). 먼저 모든 디스크의 비시스템 파일이 덮어쓰여집니다. 그 후 마스크를 기반으로 시스템 파일 목록이 작성되고 파일들이 정렬되어 해당 순서로 덮어씌워집니다. 그 다음으로, 아래의 Windows 레지스트리 분기들이 파괴됩니다: HKCU, HKU, HKLM, HKLMBCD. 마지막으로 기기가 종료됩니다.

이 활동은 UAC-0088 식별자 하에 추적되며, 우크라이나 기업의 IT 시스템을 방해하려는 시도와 직접적으로 관련됩니다.

DoubleZero 파괴적 악성코드를 사용한 공격을 설명하기 위해 CERT-UA에서 제공한 그래픽

글로벌 침해 지표 (IOCs)

파일

36dc2a5bab2665c88ce407d270954d04    d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53    Вирус... крайне опасно!!!.zip
989c5de8ce5ca07cc2903098031c7134    8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5    csrss.zip
7d20fa01a703afa8907e50417d27b0a4    3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe    cpcrs.exe (DoubleZero)
b4f0ca61ab0c55a542f32bd4e66a7dc2    30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a    csrss.exe (DoubleZero)

DoubleZero 탐지를 위한 IOC 기반 검색 쿼리 DoubleZero

보안 팀은 SOC Prime의 Uncoder CTI 도구를 통해 위에 언급된 IOC를 사용자 정의 쿼리로 변환하여 IOC 기반 위협 사냥 능력을 강화할 수 있습니다. 즉시 생성된 쿼리는 미리 구성된 검색 환경에서 관련 위협을 검색할 준비가 되어 있습니다. Uncoder CTI 현재 무료로 제공됩니다 모든 보안 실무자에게 SOC Prime Platform을 통해 2022년 5월 25일까지.

DoubleZero를 탐지하기 위한 Sigma 행동 기반 규칙

DoubleZero 파괴적 악성코드와 관련될 수 있는 악성 활동을 탐지하기 위해 보안 전문가들은 SOC Prime Platform에서 사용할 수 있는 다음과 같은 행동 기반 규칙을 사용할 수 있습니다:

비정상적인 경로에서의 시스템 프로세스 실행 (process_creation 경유)

비정상적인 시스템 프로세스 체인 (process_creation 경유)

MITRE ATT&CK® 컨텍스트

우크라이나 기업에 대한 DoubleZero 파괴적 악성코드를 사용하는 공격에 대한 더 많은 컨텍스트를 제공하기 위해, 위에 나열된 모든 Sigma 기반 탐지들은 다음의 전술 및 기술을 다루는 MITRE ATT&CK 프레임워크와 정렬되어 있습니다:

보안 실무자들은 SOC Prime Platform과 CERT-UA 제공 IOC에서의 Sigma 탐지를 기반으로 MITRE ATT&CK 컨텍스트에 대한 더 많은 통찰력을 얻기 위해 JSON 형식의 ATT&CK Navigator 파일을 다운로드할 수도 있습니다:

ATT&CK Navigator를 위한 JSON 파일 다운로드

JSON 파일에 적용 가능한 다음 버전에 주의하세요:

• MITRE ATT&CK v10
• ATT&CK Navigator 버전: 4.5.5
• 레이어 파일 형식: 4.3