러시아 정보국, 급속한 사이버 공격으로 전 세계 피해자 표적으로 삼다

러시아 국가 해커들은 4개 대륙에 걸쳐 최소 9개 국가에서 표적 피싱 캠페인을 수행하고 있습니다. 그들의 이메일은 공식적인 정부 업무를 홍보하며, 성공할 경우 민감한 조직 데이터뿐만 아니라 전략적으로 중요한 지정학적 정보도 위협합니다.

이러한 정교하고 다각적인 플롯은 다음과 같은 다작의 그룹에 의해서만 구성될 수 있습니다. 팬시 베어 (일명 APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 및 기타 여러 별칭), IBM X-Force는 ITG05로 추적합니다. 새로운 보고서.

설득력 있는 정부 테마 미끼와 세 가지 새로운 맞춤형 백도어 변종 외에도 이 캠페인은 대상 정보가 가장 두드러집니다. Fancy Bear는 러시아 정부에 사용되는 매우 구체적인 정보를 목표로 하는 것으로 보입니다.

정부 피싱 미끼

Fancy Bear는 아르헨티나, 우크라이나, 조지아, 벨로루시, 카자흐스탄, 폴란드, 아르메니아, 아제르바이잔 및 미국의 조직을 대상으로 하는 캠페인에서 최소 11개의 독특한 미끼를 활용했습니다.

미끼는 금융, 중요 인프라, 경영진 참여, 사이버 보안, 해양 보안, 의료 및 방위 산업 생산과 같은 광범위한 주제를 다루는 국제 정부와 관련된 공식 문서처럼 보입니다.

이들 중 일부는 합법적이고 공개적으로 접근 가능한 문서입니다. 흥미롭게도 다른 일부는 특정 정부 기관 내부에 있는 것으로 나타나 Fancy Bear가 처음에 어떻게 해당 기관을 손에 넣었는지에 대한 의문을 제기합니다.

IBM X-Force의 위협 사냥꾼인 Claire Zaboeva는 "X-Force는 ITG05가 사칭 조직을 성공적으로 손상시켰는지 여부에 대한 통찰력을 갖고 있지 않습니다."라고 말합니다. "ITG05가 내부 문서를 수집하기 위해 무단 액세스를 활용했을 가능성이 있으므로 책임 공개 정책의 일환으로 게시하기 전에 모든 모방 당사자에게 해당 활동을 알렸습니다."

또는 Fancy Bear/ITGO5가 실제 파일을 모방했을 수도 있습니다. “예를 들어, 공개된 문서 중 일부에는 공식 정부 계약으로 보이는 주요 당사자의 이름을 잘못 표기하는 등 눈에 띄는 오류가 있습니다.”라고 그녀는 말했습니다.

잠재적인 동기?

이 미끼의 또 다른 중요한 특성은 매우 구체적이라는 것입니다.

영어로 된 예에는 조지아 NGO의 사이버 보안 정책 문서와 미 해군의 태평양 인도양 해운 실무 그룹(PACIOSWG) 참가자를 위한 2024년 회의 및 훈련 벨 부표(XBB24)를 자세히 설명하는 XNUMX월 일정이 포함됩니다.

그리고 금융을 주제로 한 미끼도 있습니다. 유라시아 경제 연합(Eurasian Economic Union) 이니셔티브에 맞춰 2025년까지 국가 간 기업을 촉진하기 위한 상업적 조건을 조성하기 위한 권장 사항이 포함된 벨로루시 문서, 아르헨티나 경제부 예산 정책 문서, 지원을 위한 "전략적 지침"을 제공합니다. 국가 경제 정책을 담당하는 대통령 등 다양한 분야의 전문가입니다.

X-Force는 캠페인 보고서에서 "ITG05의 확립된 임무 공간을 고려할 때 예산 문제 및 글로벌 기업의 보안 태세에 관한 민감한 정보 수집이 최우선 목표일 가능성이 높습니다."라고 말했습니다.

예를 들어, 아르헨티나는 최근 BRICS(브라질, 러시아, 인도, 중국, 남아프리카) 무역 조직에 가입하라는 초대를 거부했습니다. 따라서 “ITG05가 아르헨티나 정부의 우선 순위에 대한 통찰력을 얻을 수 있는 액세스 권한을 얻으려고 할 가능성이 있습니다. "라고 X-Force는 말했습니다.

착취 후 활동

구체적이고 합법성 있는 것처럼 보이는 것 외에도 공격자는 피해자를 함정에 빠뜨리기 위해 또 다른 심리적 속임수를 사용합니다. 즉, 처음에는 문서의 흐릿한 버전만 제시하는 것입니다. 아래 이미지에서와 같이 수신자는 이러한 문서가 공식적이고 중요해 보인다는 것을 확인할 수 있을 만큼만 세부 정보를 볼 수 있지만 클릭하지 않아도 될 만큼 충분하지는 않습니다.

샘플 미끼 문서; 출처: IBM

공격자가 제어하는 ​​사이트의 피해자가 미끼 문서를 보기 위해 클릭하면 "Masepie"라는 Python 백도어가 다운로드됩니다. 12월에 처음 발견된 이 기능은 Windows 시스템에서 지속성을 설정하고 파일 다운로드 및 업로드와 임의 명령 실행을 가능하게 합니다.

Masepie가 감염된 시스템에 다운로드한 파일 중 하나는 IMAP(Internet Message Access Protocol)을 통한 명령 실행을 위한 C# 기반 도구인 "Oceanmap"입니다. 여기에서 사용된 것이 아닌 Oceanmap의 원래 변종에는 정보 도용 기능이 있었으며 이후 삭제되어 이 캠페인과 관련된 Masepie가 다운로드한 또 다른 페이로드인 "Steelhook"로 전송되었습니다.

Steelhook은 웹훅을 통해 Google Chrome 및 Microsoft Edge에서 데이터를 추출하는 작업을 수행하는 PowerShell 스크립트입니다.

악성코드보다 더 주목할만한 점은 Fancy Bear의 즉각적 행동입니다. 처럼 먼저 설명 우크라이나의 CERT-UA(Computer Emergency Response Team)는 피해자 컴퓨터에 착륙한 후 첫 2시간 만에 Fancy Bear를 감염시키고, 백도어를 다운로드하고 릴레이 공격을 위해 훔친 NTLMvXNUMX 해시를 통해 정찰 및 측면 이동을 수행합니다.

따라서 잠재적인 피해자는 신속하게 조치를 취하거나 감염에 대비하여 미리 준비해야 합니다. IBM의 권장사항 목록에 따라 그렇게 할 수 있습니다. Fancy Bear의 호스팅 제공업체인 FirstCloudIT에서 제공하는 URL이 포함된 이메일과 알 수 없는 서버에 대한 의심스러운 IMAP 트래픽을 모니터링하여 선호하는 취약점(예: CVE-2024-21413, CVE-2024)을 해결합니다. -21410, CVE-2023-23397, CVE-2023-35636 – 그리고 훨씬 더 많은 것들이 있습니다.

“ITG05는 계속해서 세계 정부와 정치 기구에 대한 공격을 활용하여 러시아에 긴급 정책 결정에 대한 고급 통찰력을 제공할 것입니다.”라고 연구원들은 결론지었습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks