러시아 SolarWinds 범인, 새로운 스파이 사이버 공격 공세 개시

진행 중인 우크라이나 침공의 일환으로 러시아 정보국은 해커 그룹 Nobelium/APT29의 서비스를 다시 한 번 모집했습니다. 이번에는 NATO 회원국의 외무부와 외교관은 물론 유럽 연합과 아프리카의 다른 목표물을 감시하기 위해 .

이 시기는 또한 러시아와 연결되어 있는 것으로 여겨지는 캐나다 기반 시설에 대한 공격이 급증하는 것과도 일치합니다.

폴란드 군사 방첩국과 폴란드의 CERT 팀은 13월 XNUMX일 위협에 대한 스파이 캠페인의 잠재적 목표를 경고하는 타협 지표와 함께 경보를 발령했습니다. 노벨륨, 그룹은 Microsoft에서 지정하므로 이름도 지정됩니다. Mandiant의 APT29, 국가 스파이 게임에 새로운 것이 아니라 그룹은 악명 높은 배후에 있었다 SolarWinds 공급망 공격 거의 XNUMX년 전.

이제 APT29는 완전히 새로운 맬웨어 도구 세트를 가지고 돌아왔으며 우크라이나를 지원하는 국가의 외교단에 침투하기 위한 행진 명령을 보고했다고 폴란드 군과 CERT 경보가 설명했습니다.

APT29가 새로운 주문과 함께 돌아왔습니다

폴란드 경보에 따르면 모든 경우에 APT(Advanced Persistent Threat)는 잘 고안된 스피어 피싱 이메일로 공격을 시작합니다.

당국은 “유럽 국가 대사관을 사칭하는 이메일이 외교 공관의 일부 인사에게 발송됐다”고 설명했다. "서신에는 회의 초대나 문서 작업을 함께 하자는 내용이 포함되어 있었습니다."

그런 다음 메시지는 수신자가 링크를 클릭하거나 PDF를 다운로드하여 대사의 일정에 액세스하거나 회의 세부 정보를 얻도록 지시합니다. 둘 다 보고서에서 다음과 같이 식별되는 위협 그룹의 "서명 스크립트"가 로드된 악성 사이트로 대상을 보냅니다. "엔비스카우트."

"t는 HTML 밀수 기술을 활용합니다. 즉, 페이지가 열릴 때 JavaScript를 사용하여 페이지에 배치된 악성 파일을 디코딩한 다음 피해자의 장치에 다운로드합니다.”라고 폴란드 당국이 덧붙였습니다. "이로 인해 악성 파일이 저장된 서버 측에서 악성 파일을 탐지하기가 더 어려워집니다."

이 악성 사이트는 또한 올바른 파일을 다운로드했다고 안심시키는 메시지를 대상에게 보냅니다.

SlashNext의 CEO인 Patrick Harr는 캠페인에 대해 Dark Reading에 말했습니다. "이 스파이 캠페인은 성공을 위한 모든 기준을 충족합니다."

한 피싱 이메일, 예를 들어 폴란드 대사관을 사칭했으며 흥미롭게도 관찰된 캠페인 과정에서 Envyscout 도구는 난독화 개선을 통해 세 번 조정되었다고 폴란드 당국은 지적했습니다.

일단 손상되면 그룹은 수정된 버전의 Snowyamber 다운로더인 Halfrig를 사용합니다. 코발트 스트라이크 포함된 코드로, 그리고 Halfrig와 코드를 공유하는 Quarterrig라고 Polish alert는 말했습니다.

Harr는 "악의적인 행위자가 성공을 조정하고 개선하기 위해 캠페인의 여러 단계를 사용하는 이러한 공격이 증가하고 있습니다."라고 덧붙였습니다. "그들은 자동화 및 기계 학습 기술을 사용하여 탐지를 피하고 후속 공격을 수정하여 성공을 개선합니다."
폴란드 사이버 보안 당국에 따르면 정부, 외교관, 국제 기구 및 비정부 기구(NGO)는 이 문제와 기타 러시아 스파이 활동에 대해 경계해야 합니다.

관계자는 "Military Counterintelligence Service와 CERT.PL은 공격자의 관심 영역에 있을 수 있는 모든 개체가 구성 변경을 구현하여 설명된 캠페인에 사용된 전달 메커니즘을 방해할 것을 강력히 권장합니다"라고 말했습니다.

캐나다 인프라에 대한 러시아 연계 공격

폴란드 사이버 보안 관리의 경고 외에도 지난 주 캐나다 총리 Justin Trudeau는 최근 급증한 러시아 관련 사이버 공격 다음을 포함한 캐나다 인프라를 목표로 함 DoS (Denial-of-Service) 공격 하이드로-Québec, 전기 유틸리티, Trudeau 사무실 웹사이트, Port of 퀘벡및 로렌시안 은행. Trudeau는 사이버 공격이 캐나다의 우크라이나 지원과 관련이 있다고 말했습니다.

"정부 웹사이트에 대한 몇 차례의 서비스 거부 공격으로 몇 시간 동안 중단되더라도 우크라이나를 지원하는 데 필요한 모든 조치를 취하겠다는 우리의 분명한 입장을 재고하게 만들지 않을 것입니다.”라고 Trudeau는 말했습니다. , 보고서에 따르면.

캐나다 사이버 보안 센터의 책임자인 Sami Khoury는 지난주 기자 회견에서 캐나다의 인프라에 피해는 없었지만 "위협은 현실"이라고 말했습니다. 캐나다인에게 접근하거나 의료 서비스를 제공하거나 일반적으로 캐나다인이 없이는 할 수 없는 서비스를 운영하려면 시스템을 보호해야 합니다.”라고 Khoury는 말했습니다. “네트워크를 모니터링하십시오. 완화 조치를 적용하십시오.”

러시아의 사이버 범죄 노력이 맹위를 떨치고 있습니다.

러시아의 우크라이나 침공이 XNUMX년째에 접어들면서 Vulcan Cyber의 마이크 파킨(Mike Parkin)은 최근 캠페인이 그다지 놀라운 일이 아니라고 말했습니다.

"사이버 보안 커뮤니티는 우크라이나 분쟁이 시작된 이후로 그 여파와 부수적 피해를 주시하고 있으며 러시아와 친러시아 위협 행위자가 서방 목표물에 대해 활동하고 있음을 알고 있습니다." 파킨은 말한다. “우리가 이미 다루고 있는 사이버 범죄 활동의 수준을 고려할 때 [이것들은] 몇 가지 새로운 도구와 새로운 대상일 뿐이며 우리의 방어가 최신 상태이고 적절하게 구성되어 있는지 확인하기 위한 알림입니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks