우크라이나 기업들, DoubleZero 와이퍼에 공격 당해

IT/Article

yuujoeng 2022. 5. 3. 19:30

Article

우크라이나 기업들, DoubleZero 와이퍼에 공격 당해 - 데일리시큐

우크라이나 CERT-UA가 우크라이나 기관을 타깃으로 하는 멀웨어 공격이 계속 관찰되고 있고, 최근에는 더블제로(DoubleZero) 와이퍼를 사용한 공격을 수행 중이라고 경고했다.시큐리티어페어스 보도

www.dailysecu.com

우크라이나 기업들, DoubleZero 와이퍼에 공격 당해

데일리시큐, hsk, 2022.03.25 14:48

- 우크라이나 CERT-UA가 우크라이나 기관을 타깃으로 하는 멀웨어 공격이 계속 관찰됨

- 최근에는 더블제로(DoubleZero) 와이퍼를 사용한 공격을 수행 중

- CERT-UA는 2022년 3월 17일부터 해당 사이버 작전을 발견

- 공격자는 악성코드를 사용해 스피어 피싱 공격을 시작함

- 프로그램은 C# 프로그래밍 언어를 사용해 개발된 악성 파괴 프로그램인 DoubleZero로 분류

- DoubleZero 와이퍼 파일들은 FileStream.Write를 사용해 파일 내용 4,096 바이트를 0으로 덮어씌우거나,

NtFileOpen, NtFsControlFile API 호출

- 악성코드는 감염된 시스템을 종료하기 전에 다음 윈도우 레지스트리 HKCU, HKU, HKLM, HKLM \ BCD를 제거