CWN(CHANGE WITH NEWS) - [독점] 우크라이나 겨냥한 멀웨어 ′캐디와이퍼′ 등장...데이터 삭제로 피해 유발

  • 흐림태백12.2℃
  • 구름많음울릉도20.7℃
  • 흐림제천14.0℃
  • 구름조금북강릉18.1℃
  • 흐림구미16.9℃
  • 흐림밀양16.7℃
  • 구름많음춘천16.4℃
  • 흐림추풍령14.3℃
  • 흐림의령군14.6℃
  • 구름많음대관령11.3℃
  • 박무북춘천16.5℃
  • 흐림임실15.6℃
  • 흐림백령도19.3℃
  • 흐림강진군17.6℃
  • 흐림합천16.4℃
  • 흐림보은15.1℃
  • 흐림장흥17.0℃
  • 흐림영주14.5℃
  • 흐림고창17.3℃
  • 흐림순천15.0℃
  • 흐림흑산도21.0℃
  • 흐림고창군17.6℃
  • 흐림금산15.1℃
  • 흐림성산20.0℃
  • 구름많음인제15.4℃
  • 흐림진도군17.7℃
  • 구름많음속초18.7℃
  • 흐림울진16.9℃
  • 흐림상주15.9℃
  • 흐림통영19.2℃
  • 흐림정읍17.6℃
  • 흐림거제18.7℃
  • 흐림양평16.2℃
  • 구름많음동해18.0℃
  • 흐림부여16.4℃
  • 흐림북창원18.8℃
  • 흐림대전17.0℃
  • 흐림군산17.6℃
  • 흐림부산21.4℃
  • 흐림봉화13.0℃
  • 흐림포항18.8℃
  • 흐림보령18.6℃
  • 흐림영광군17.5℃
  • 흐림의성15.4℃
  • 흐림정선군14.0℃
  • 흐림진주15.8℃
  • 구름많음홍천15.9℃
  • 흐림양산시18.9℃
  • 흐림경주시15.7℃
  • 흐림광양시18.4℃
  • 흐림원주16.0℃
  • 구름많음강릉19.4℃
  • 흐림대구17.1℃
  • 흐림천안16.1℃
  • 구름많음동두천15.3℃
  • 흐림영덕18.7℃
  • 흐림보성군17.8℃
  • 흐림충주16.1℃
  • 구름많음철원15.1℃
  • 흐림안동15.1℃
  • 흐림서청주16.1℃
  • 흐림세종16.5℃
  • 흐림여수20.1℃
  • 흐림영월15.3℃
  • 흐림장수14.0℃
  • 흐림영천15.3℃
  • 흐림파주15.4℃
  • 박무청주18.7℃
  • 흐림문경15.4℃
  • 흐림인천18.0℃
  • 흐림순창군16.4℃
  • 흐림고산22.3℃
  • 흐림부안18.0℃
  • 흐림완도18.9℃
  • 흐림서산17.2℃
  • 흐림북부산18.2℃
  • 흐림거창14.6℃
  • 박무서울17.3℃
  • 흐림광주18.7℃
  • 흐림해남17.1℃
  • 흐림수원16.4℃
  • 흐림창원19.6℃
  • 흐림강화15.1℃
  • 흐림울산18.4℃
  • 흐림함양군15.3℃
  • 흐림고흥17.1℃
  • 흐림산청15.5℃
  • 흐림목포19.4℃
  • 박무홍성17.1℃
  • 흐림김해시18.4℃
  • 흐림남원16.0℃
  • 흐림서귀포22.4℃
  • 흐림청송군13.9℃
  • 구름많음제주20.6℃
  • 흐림이천15.9℃
  • 흐림남해19.1℃
  • 흐림전주18.1℃
  • 2025.10.02 (목)

[독점] 우크라이나 겨냥한 멀웨어 '캐디와이퍼' 등장...데이터 삭제로 피해 유발

박소현 / 기사승인 : 2022-03-16 15:40:57
  • -
  • +
  • 인쇄

사이버 보안 전문 매체 블리핑컴퓨터가 우크라이나 기관을 겨냥한 사이버 공격 발견 소식을 보도했다.

사이버 보안 연구 기관 이셋(ESET)은 우크라이나 기관을 겨냥한 멀웨어 ‘캐디와이퍼(CaddyWiper)’가 보안 수준이 취약한 시스템을 삭제한 사례를 발견했다.

캐디와이퍼는 DsRoleGetPrimaryDomainInformation() 함수를 사용해 공격하고자 하는 기기가 도메인 컨트롤러인지 확인한다. 도메인 컨트롤러임을 확인한 기기의 데이터는 삭제하지 않는다. 이는 사이버 공격 세력이 공격하고자 하는 기관의 네트워크 접근 권한을 유지하고, 다른 중요한 기기 데이터를 제거하면서 심각한 피해를 유발하려는 전략으로 추정된다.

이셋 연구팀은 어느 한 우크라이나 기관의 네트워크에서 발견한 캐디와이퍼의 PE 헤더 샘플을 분석한 뒤, 캐디와이퍼 압축 당일 바로 공격을 개시한다고 결론을 내렸다.

캐디와이퍼는 올해 우크라이나에 널리 배포된 네 번째 멀웨어이다. 마이크로소프트는 1월 중순, 우크라이나에서 데이터 삭제 공격을 개시한 멀웨어인 위스퍼게이트(WhisperGate)를 발견했다. 마이크로소프트 회장 브래드 스미스(Brad Smith)는 위스퍼게이트가 정교한 피해 대상 지정 후 공격을 개시했다고 밝혔다.

앞서, 러시아가 우크라이나를 침략하기 전날인 2월 23일, 이셋 연구팀은 에르메틱와이퍼(HermeticWiper)라는 멀웨어를 발견했다. 에르메틱와이퍼는 랜섬웨어 공격과 함께 우크라이나를 겨냥해 데이터 삭제 공격을 개시하는 멀웨어이다. 하루 뒤인 2월 24일, 연구팀은 또 다른 데이터 삭제 멀웨어인 이삭와이퍼(IsaacWiper)를 발견했다.

이셋은 지금까지 우크라이나 일부 기관의 시스템 수십 곳에서 같은 피해가 발생한 사실을 확인했다.

이셋 관계자는 “캐디와이퍼는 에르메틱와이퍼나 이삭와이퍼를 포함해 지금까지 알려진 멀웨어와 코드 유사성이 없다. 이셋 연구팀이 분석한 샘플은 디지털 서명이 없다. 다만, 캐디와이퍼는 GPO를 통해 배포된다는 점에서 에르메틱와이퍼와 비슷하다는 것을 확인했다. 이는 해커 세력이 과거 피해 기관의 네트워크를 먼저 제어했을 가능성을 시사한다”라고 설명했다.

한편, 매체는 캐디와이퍼가 과거 러시아가 우크라이나 등 여러 국가에 무차별적인 공격으로 치명적인 피해를 일으킨 멀웨어인 낫펫트야(NotPetya)와는 전혀 다르다고 언급했다. 또한, 이번 공격은 러시아가 우크라이나를 침략한 뒤 양국 간 이어지는 대규모 사이버 전쟁 공격 중 하나라고 전했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]

최신기사

뉴스댓글 >

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

댓글 1

  • 구본준님 2022-03-17 15:44:27
    우크라이나의 시민들이 피해 받는 이 상황이 빨리 해결되고
    지금도 위험속에 있는 우크라이나의 시민들이 안전한 생활을 할 수 있도록 응원할게요.

Today

Hot Issue