2022-01-17 Mon

Created: January 17, 2022 12:06 PM

1. MS에서 우크라이나 겨냥한 사이버 공격에서 파괴형 멀웨어(WhisperGate) 발견

Reference: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

https://www.boannews.com/media/view.asp?idx=104145&page=1&mkind=1&kind=1

MS에서 우크라이나 정보를 타겟으로 한 새로운 malware를 발견했다. 이름은 WhisperGate이며, MBR을 파괴한다. 랜섬웨어처럼 위장했지만 복구 매커니즘 없이 시스템 파괴만 진행된다.

악성코드는 C:\PerfLogs, C:\ProgramData, C:\ 및 C:\temp 를 포함한 다양한 작업 디렉토리에 상주하며, 종종 stage1.exe 라는 이름으로 확인된다. 해당 악성코드는 lateral movement와 execution을 위해 Impacket 을 통해 실행된다.

악성코드는 두단계로 진행이 되며, 1단계에서는 MBR을 랜섬노트로 덮어쓴다.

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.

실제 악성행위는 연결된 장치의 전원이 꺼지면 실행되며, 위의 랜섬노트는 위장내용으로 실제 행위로는 MBR을 모두 파괴한다.

2단계에서는 파일을 손상하며, 이때 사용하는 것이 stage1.exe 이다. 해당 파일은 파일 손상 악성코드이다. 해당 악성코드는 다운로더에 하드코딩된 링크를 통해 discord 채널에서 호스팅되는 다음 단계의 악성코드를 다운로드 한다. 파일이 실행되면 아래의 확장자를 포함하는 파일의 내용을 고정된 수의 0xCC로 덮어쓴다.

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS . .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .H .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3PHP5P4 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RBSAV .RTF . .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TARTG .TBK .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XL.XL .XL.TX YML .ZIP

일반적인 랜섬웨어 활동과 다른점은 다음과 같다.

1. 여러 피해자에게 동일한 랜섬 페이로드
2. 동일한 비트코인 지갑 주소
3. 파일 암호화 X
4. 피해자와 공격자의 커뮤니케이션을 위해 Tox ID만 존재하는데, 일반적으로는 다양한 연락 방법을 첨부함

IOC

Indicator    Type    Description
SHA-256: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92    
    - Hash of destructive malware stage1.exe
SHA-256: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
    - Hash of stage2.exe
cmdLine: cmd.exe /Q /c start c:\stage1.exe 1> \\127.0.0.1\ADMIN$\__[TIMESTAMP] 2>&1    
    - Command line    Example Impacket command line showing the execution of the destructive malware. The working directory has varied in observed intrusions.