다이노위퍼: 폴란드의 에너지 부문을 노리는 파괴적인 멀웨어

요약

• 12월 29, 2025, 폴란드의 에너지 인프라를 표적으로 삼은 조직적인 파괴적 사이버 공격 캠페인이 30 재생 에너지 시설과 주요 열병합 발전소(CHP)에 영향을 미쳤습니다.
• 손상된 네트워크에서 데이터를 비가역적으로 파괴하기 위해 DYNOWIPER라고 불리는 맞춤형 와이퍼 멀웨어가 사용되었습니다.
• CERT 폴스카는 이 공격 인프라를 Cisco는 Static Tundra, Crowdstrike는 Berserk Bear, Microsoft는 Ghost Blizzard, 시만텍은 Dragonfly라고 부르는 위협 클러스터에 속한다고 말합니다.
• 카나리아 파일 모니터링을 사용하여 DYNOWIPER 실행을 성공적으로 탐지하고 차단하는 Elastic Defend의 랜섬웨어 보호 기능

배경

주요 에너지 기반시설에 대한 조직적인 파괴 캠페인은 폴란드의 혹독한 겨울 날씨 기간인 12월 29, 2025 에서 발생했습니다.

CERT 폴란드의 보고서에 따르면 이 캠페인의 표적은 다음과 같습니다:

• 폴란드 전역의 30개 이상의 풍력 및 태양광 발전소
• 50만 명에 가까운 고객에게 열을 공급하는 주요 CHP 플랜트
• 기회주의적 표적으로 특징지어지는 제조 부문 기업

공격 벡터

위협 행위자는 12월 29일 이전에 인터넷에 노출된 포티넷 포티게이트 장치를 통해 초기 액세스 권한을 획득하여 이를 악용한 것으로 알려졌습니다:

• 멀티팩터 인증 없이도 인증이 가능한 VPN 인터페이스
• 여러 시설에서 재사용된 자격 증명
• 패치되지 않은 디바이스의 과거 취약점

공격자들은 산업 자동화 시스템을 수개월에 걸쳐 정찰했으며, 특히 SCADA 시스템과 OT 네트워크를 표적으로 삼았습니다. 이 기간 동안 공격자들은 Active Directory 데이터베이스, FortiGate 구성 및 OT 네트워크 현대화와 관련된 데이터를 유출했습니다.

다이노와이퍼 세부 정보

Elastic 보안 연구소는 오픈 소스에서 DYNOWIPER 샘플을 독립적으로 분석했습니다. 이 샘플은 CERT Polska에서 문서화한 변종 중 하나와 유사합니다.

샘플 메타데이터

파괴 메커니즘

드라이브 열거

이 악성 코드는 GetLogicalDrives() 을 사용하여 모든 논리 드라이브(A-Z)를 열거하고 DRIVE_FIXED (하드 드라이브) 및 DRIVE_REMOVABLE (USB 드라이브, SD 카드) 유형만 표적으로 삼습니다.

파일 손상

다이노와이퍼는 메르센 트위스터 PRNG를 사용하여 파일 손상을 위한 의사 랜덤 데이터를 생성합니다. 전체 파일을 덮어쓰는 대신(시간이 필요함) 전략적으로 다음과 같은 방법으로 파일을 손상시킵니다:

1. 다음을 통해 파일 보호 속성 제거 SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
2. 읽기/쓰기 액세스를 위해 CreateFileW 로 파일 열기
3. 파일 헤더를 16 바이트의 임의 데이터로 덮어쓰기
4. 대용량 파일의 경우 최대 4,096개의 무작위 오프셋을 생성하고 각각 16바이트 시퀀스로 덮어씁니다.

이 접근 방식을 사용하면 많은 파일을 빠르게 손상시키면서도 데이터를 복구할 수 없습니다.

디렉토리 제외 목록

이 멀웨어는 공격 중 시스템 안정성을 유지하기 위해 시스템 중요 디렉터리를 의도적으로 피합니다:

• windows, system32
• program files, program files(x86)
• boot, appdata, temp
• recycle.bin, $recycle.bin
• perflogs, documents and settings

이 설계 선택은 시스템이 불안정해지기 전에 데이터 파괴를 극대화하여 와이퍼가 임무를 완수할 수 있도록 합니다.

강제 재부팅

손상 및 삭제 단계가 완료되면 DYNOWIPER:

1. 다음을 통해 프로세스 토큰을 가져옵니다. OpenProcessToken()
2. 다음을 통해 SeShutdownPrivilege 활성화 AdjustTokenPrivileges()
3. 다음을 사용하여 시스템을 강제로 재부팅합니다. ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

주목할 만한 특성

다이노와이퍼는 몇 가지 특징으로 구별됩니다:

• 지속성 메커니즘 없음 - 악성코드는 재부팅 후에도 생존을 시도하지 않습니다.
• C2 통신 없음 - 완전 독립형, 네트워크 콜백 없음
• 셸 명령 호출 없음 - 모든 작업은 Windows API를 통해 수행됩니다.
• 안티 분석 기술 없음 - 탐지 또는 디버깅을 회피하려는 시도 없음
• 특징적인 PDB 경로: C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

PDB 경로에 "vagrant" 을 사용하면 Vagrant가 관리하는 가상 머신 환경에서 개발되었음을 알 수 있습니다.

버전 차이점

CERT Polska는 두 가지 다이노와이퍼 버전(A와 B)을 문서화했습니다. 저희가 분석한 샘플은 버전 A에 해당하며, 버전 B는 시스템 종료 기능이 제거되고 손상과 삭제 단계 사이에 5초 절전 모드가 추가되었습니다.

Elastic 방어 보호

DYNOWIPER 샘플을 테스트하는 동안 Elastic Defend는 멀웨어가 피해를 입히기 전에 성공적으로 탐지하고 완화했습니다.

탐지 알림

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

카나리아 보호 작동 방식

Elastic Defend의 랜섬웨어 보호 기능은 수정 시 경고를 트리거하는 카나리아 파일(전략적으로 배치된 미끼 파일)을 사용합니다. 다이노위퍼의 무차별적인 파일 손상 접근 방식은 카나리아 파일을 수정하게 만들었습니다.

와이퍼가 이 카나리아 파일을 손상시키려고 시도하면 Elastic Defend는 즉시 이를 차단합니다:

1. 의심스러운 수정 패턴 감지
2. 추가 실행 차단
3. 신뢰도가 높은 랜섬웨어 경고 생성(위험 점수: 73)

이 사고에 사용된 EDR 솔루션은 Elastic Defend가 아니었지만, 이러한 형태의 심층 방어 보호는 실제 침입에서 매우 중요했습니다. CERT Polska에 따르면, 위에서 강조한 것과 동일한 카나리아 보호 기술을 사용하여 CHP 플랜트에 배포된 EDR 솔루션은 다이나위퍼가 이미 실행되기 시작한 100 이상의 시스템에서 데이터 덮어쓰기를 중단시켰습니다.

행동 탐지가 중요한 이유

파괴적인 멀웨어는 위험을 최소화하는 데 고유한 문제를 야기할 수 있습니다:

• C2 연결을 설정하지 못할 수 있습니다(네트워크 표시기 없음).
• 지속성 메커니즘을 사용할 수 없습니다(포렌식 아티팩트 제한).
• 신속하고 파괴적으로 실행됩니다.
• 정적 시그니처 기반 탐지는 새로운 변종을 놓칠 수 있습니다.

카나리아 파일과 같은 행동 보호는 새로운 멀웨어에 관계없이 파괴적인 멀웨어를 탐지할 수 있는 중요한 방어 계층을 제공합니다.

타협 지표

파일 해시(다이노와이퍼)

배포 스크립트

네트워크 표시기

YARA Rule

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

추천

즉각적인 조치

1. 행동형 랜섬웨어 보호 배포 - 신종 와이퍼에 대한 시그니처 기반 탐지만으로는 충분하지 않습니다.
2. 모든 VPN 및 원격 액세스 솔루션에서 MFA 사용 - 공격자는 MFA가 없는 계정을 악용했습니다.
3. FortiGate 및 엣지 장치 구성 감사 - 권한이 없는 계정, 규칙, 예약된 작업을 확인합니다.
4. 기본 자격 증명 검토 - 산업용 디바이스(RTU, HMI, 시리얼 서버)에는 기본 비밀번호가 제공되는 경우가 많습니다.

탐지 기회

모니터링 대상

• GetLogicalDrives API 호출 후 대량 파일 작업
• SetFileAttributesW 전화 설정 FILE_ATTRIBUTE_NORMAL 대규모로
• SeShutdownPrivilege 에 대한 권한 에스컬레이션은 다음과 같습니다. ExitWindowsEx
• 시스템 권한으로 예약된 작업을 만드는 GPO 수정
• 여러 드라이브에서 동시에 비정상적인 파일 수정

복구 고려 사항

• 오프라인/에어 갭 백업에서 복원 - 온라인 백업이 표적이 되었을 수 있습니다.
• 복원 전 백업 무결성 확인
• 자격 증명 유출 가정 - 모든 비밀번호, 특히 도메인 관리자 계정을 재설정합니다.
• 영향을 받는 시스템에 연결되었을 수 있는 모든 이동식 미디어를 감사합니다.

결론

12월 폴란드의 에너지 부문에 대한 2025 공격은 중요 인프라에 대한 파괴적인 사이버 공격이 크게 확대되었음을 나타냅니다. 다이노와이퍼는 기술적으로 정교하지는 않지만, 위협 행위자가 사전에 확보한 광범위한 액세스 권한과 결합했을 때 신속한 데이터 파괴에 효과적임이 입증되었습니다.

이 사건은 심층 방어 전략, 특히 새로운 악성코드와 관계없이 파괴적인 악성코드를 식별할 수 있는 행동 탐지 기능의 중요성을 강조합니다. Elastic Defend의 랜섬웨어 보호 기능, 특히 카나리아 파일 모니터링은 DYNOWIPER가 파괴적인 임무를 완수하기 전에 효과적으로 탐지하고 차단하는 것으로 입증되었습니다.

중요 인프라 부문의 조직은 이 보고서와 CERT 폴란드의 종합 분석에서 설명한 TTP에 대해 보안 태세를 검토해야 합니다.

---

참고 자료

• CERT Polska: 에너지 부문 사고 보고서 - 29 12월

• Cisco Talos: 정적 툰드라
• FBI IC3: PSA250820

MITRE ATT&CK 매핑