러시아 해커들은 WinRAR을 사용하여 우크라이나 국가 기관의 데이터를 삭제합니다.

러시아의 'Sandworm' 해킹 그룹이 WinRar를 사용하여 정부 장치의 데이터를 파괴한 우크라이나 국영 네트워크에 대한 공격과 관련이 있는 것으로 나타났습니다.

우크라이나 정부 컴퓨터 비상 대응팀(CERT-UA)은 새로운 권고에서 러시아 해커들이 다단계 인증으로 보호되지 않는 손상된 VPN 계정을 사용하여 우크라이나 국영 네트워크의 중요한 시스템에 액세스했다고 밝혔습니다.

네트워크에 액세스한 후 WinRar 보관 프로그램을 사용하여 Windows 및 Linux 시스템에서 파일을 지우는 스크립트를 사용했습니다.

Windows에서 Sandworm이 사용하는 BAT 스크립트는 'RoarBat'입니다. 이는 디스크 및 특정 디렉터리에서 doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin, dat 파일을 WinRAR 프로그램을 사용하여 보관합니다.

그러나 WinRar가 실행되면 위협 행위자는 보관된 파일을 자동으로 삭제하는 "-df" 명령줄 옵션을 사용합니다. 그런 다음 아카이브 자체가 삭제되어 장치의 데이터가 효과적으로 삭제되었습니다.

CERT-UA에 따르면 RoarBAT는 그룹 정책을 사용하여 Windows 도메인의 장치에 생성되고 중앙에서 배포되는 예약된 작업을 통해 실행됩니다.

Linux 시스템에서 공격자는 "dd" 유틸리티를 사용하여 대상 파일 형식을 0바이트로 덮어쓰고 해당 내용을 삭제하는 Bash 스크립트를 대신 사용했습니다. 이러한 데이터 교체로 인해 dd 도구를 사용하여 "비워진" 파일을 복구하는 것은 완전히 불가능하지는 않더라도 거의 불가능합니다.

'dd' 명령과 WinRar는 모두 합법적인 프로그램이므로 위협 행위자는 보안 소프트웨어의 탐지를 우회하기 위해 이를 사용했을 가능성이 높습니다.

CERT-UA는 이 사건이 2023년 1월 우크라이나 국영 통신사 "Ukrinform"을 강타한 또 다른 파괴적인 공격과 유사하다고 밝혔습니다.

"악의적인 계획 실행 방법, 액세스 주체의 IP 주소, RoarBat의 수정된 버전을 사용한다는 사실은 Telegram 채널에 게시된 정보인 Ukrinform에 대한 사이버 공격과의 유사성을 증언합니다." CyberArmyofRussia_Reborn" 2023년 1월 17일." CERT-UA 권고를 읽습니다.

CERT-UA는 국내의 모든 중요한 조직이 공격 표면을 줄이고, 결함을 패치하고, 불필요한 서비스를 비활성화하고, 관리 인터페이스에 대한 액세스를 제한하고, 네트워크 트래픽과 로그를 모니터링할 것을 권장합니다.

항상 그렇듯이, 기업 네트워크에 대한 액세스를 허용하는 VPN 계정은 다단계 인증으로 보호되어야 합니다.

Google: 2023년 러시아 피싱 공격의 60%가 우크라이나를 타겟으로 함

새로운 CS:GO 맵은 러시아의 우크라이나 전쟁 뉴스 검열을 우회합니다.

해커들은 가짜 'Windows 업데이트' 가이드를 사용하여 우크라이나 정부를 표적으로 삼았습니다.

영국 사이버 기관, 러시아 해커의 새로운 '계층' 경고

우크라이나인 3억 명의 데이터를 러시아인에게 판매한 혐의로 체포