2022-03-02 Wed

1. 우크라이나를 타겟으로 한 새로운 Wiper 악성코드 IsaacWiper

Reference: https://thehackernews.com/2022/02/new-wiper-malware-targeting-ukraine.html

최근 우크라이나-러시아 전쟁과 관련하여 우크라이나를 타겟으로 한 HermeticWiper(https://biji-jjigae.tistory.com/169) wiper 악성코드가 발견되었었다. 그리고 IsaacWiper라고 명명된 wiper 악성코드가 HermeticWiper의 영향을 받지 않은 조직에서 탐지되었다고 한다.

최소 5개의 우크라이나 조직을 감염시킨 HermeticWiper에 대한 추가 분석 결과, 감염된 네트워크를 통해 악성코드를 전파하는 웜 역할과, wiper 공격을 숨기기 위해 주의를 분산시키기 위한 용도의 랜섬웨어 모듈이 밝혀졌다.

현재로써 IsaacWiper와 HermeticWiper 모두 기존 알려진 악성코드 샘플과 코드 유사성이 없어 알려진 위협 그룹에 속하지 않은 것으로 보이며, 두 악성코드 사이에도 어떤 연결고리가 있는지도 알려지지 않았다.

초기 침입 벡터는 알려지지 않았지만 공격자가 Leteral Movement와 악성코드 배포를 위해 원격 액세스 소프트웨어인 Impacket이나 RemCom 같은 도구를 활용하였을 것으로 보인다. IsaacWiper는 dll이나 exe 형태로 발견되고 있으며, IOCTL_STORAGE_GET_DEVICE_NUMBER 를 사용해 물리 드라이브들을 탐지하여 초반 0x10000 바이트를 삭제한다.

2. NVIDIA 기밀정보 1TB 가량 탈취

Reference: https://zdnet.co.kr/view/?no=20220302121742

GPU 설계 업체인 NVIDIA가 최근 공격으로 인해 기밀 정보를 탈취 당했다고 확인되었다. 해킹의 주체로 확인되는 해킹 그룹 LAPSUS$는 본인들이 엔비디아 서버에서 GPU 회로도를 포함한 중요 데이터 1TB를 빼냈고, 엔비디아가 협상에 나서지 않을 경우 정보를 공개하겠다고 협박하고 있다.

엔비디아는 지난달 23일에 침입 사실을 인지하였으며, 입장문에서 탈취당한 것이 “독점정보” 라고 표현한 것에 의해 외부에 공개되지 않은 민감한 기밀 정보가 탈취 된 것으로 추정된다.