러시아인으로 보이는 공격자들, 우크라이나 기업들의 데이터 삭제해

요약 : 보안 블로그 시큐리티어페어즈에 의하면 더블제로(DoubleZero)라는 삭제형 멀웨어가 우크라이나 기업들을 폭격하는 중이라고 한다. 우크라이나 정부 산하 CERT가 이에 대한 경고를 반복적으로 내놓고 있기도 하다. 이 경고에 의하면 공격자들은 주로 스피어피싱 공격을 통해 조직들을 감염시키고 있다고 하는데, 주로 ‘위험한 바이러스 경고’ 메시지로 위장되어 있다고 한다. 스피어피싱 메일은 .zip 파일인데, 압축을 풀면 닷넷(.NET) 기반 악성 프로그램이 나타난다.


배경 : 더블제로는 파일 덮어쓰기를 통해 파일을 삭제하기도 하고, API 호출인 NtFileOpen과 NtFsControlFile이라는 방법을 사용해 파일을 삭제하기도 한다. 또한 HKCU, HKU, HKLM, HKLM과 같은 레지스트리도 삭제한다.

말말말 : “공격을 저지르는 자들은 현재 UAC-0088라는 식별자로 추적하고 있습니다. 침해지표를 공개하니 참고하여 방어하시기 바랍니다.” -우크라이나 CERT-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>