SolarWinds 공격자들은 외교관을 감시하기 위해 BMW를 매달아 놓았습니다.

악명 높은 SolarWinds 공격의 배후에 있는 러시아 지원 그룹은 일반적으로 악성 링크를 클릭하도록 유도하는 데 사용되는 전통적인 정치적 수단보다 좀 더 개인적인 미끼를 사용하여 우크라이나 주재 대사관에서 근무하는 '놀라운 수'의 외국 외교관을 표적으로 삼고 있습니다.

Palo Alto Networks의 42부 연구원이 이 그룹을 관찰했습니다. 은폐된 우르사 하지만 이는 Nobelium/APT29로 더 잘 알려져 있습니다. 이는 돌아다닐 수 있는 차량입니다.

캠페인의 초기 미끼는 폴란드 외무부 내 외교관이 여러 대사관에 배포한 키예프의 중고 BMW 세단 판매에 대한 합법적인 전단지를 사용하는 것으로 나타났습니다. 상당히 순진해 보이지만, 특히 우크라이나와 같이 전쟁으로 폐허가 된 지역에서 신뢰할 수 있는 외교관이 믿을 수 있는 자동차를 판매하는 것은 확실히 현장에 새로 도착한 사람들의 관심을 끌 수 있다고 연구진은 지적했습니다.

Cloaked Ursa는 이를 기회로 삼아 전단지의 용도를 변경하여 자체 불법 전단지를 만들었고, 2주 후 악성 코드 캠페인의 미끼로 여러 외교 사절단에 이 전단지를 보냈습니다. 해당 그룹은 메시지에 악성 링크를 포함시켜 표적이 그곳에서 자동차의 더 많은 사진을 찾을 수 있다고 말했습니다. 피해자는 링크를 클릭하면 사진보다 더 많은 것을 발견하게 되는데, 이 링크는 선택한 이미지가 피해자의 화면에 표시되는 동안 백그라운드에서 자동으로 악성 코드를 실행합니다.

캠페인의 페이로드는 공격자에게 피해자 시스템에 대한 간첩 준비 백도어와 명령 및 제어(C2) 연결을 통해 추가 악성 코드를 로드할 수 있는 기능을 제공하는 JavaScript 기반 악성 코드입니다.

지능형 지속 위협(APT)은 표적 피해자의 약 80%에 대해 공개적으로 사용 가능한 대사관 이메일 주소를 사용하고 나머지 20%에 대해서는 표면 웹에 없는 게시되지 않은 이메일 주소를 사용하여 표적 목록을 생성하려는 사전 계획을 보였습니다. Unit 42에 따르면 이는 "원하는 네트워크에 대한 액세스를 극대화하기 위한 것"일 가능성이 높습니다.

연구원들은 Cloaked Ursa가 우크라이나에 있는 22개의 외국 사절단 중 80개를 상대로 캠페인을 벌이는 것을 관찰했지만 실제 표적의 수는 더 많을 것이라고 그들은 말했습니다.

Unit 42에 따르면 "이것은 일반적으로 범위가 좁고 비밀스러운 APT 작전의 범위가 엄청납니다."

악성코드 사이버 전술의 변화

연구자들은 자신의 업무와 관련된 주제를 미끼로 사용하는 것이 전략적 전환점이라고 밝혔습니다. 블로그 게시물 이번주에 출판되었습니다.

“이러한 색다른 미끼는 수신자가 일상적인 업무의 일부가 아닌 자신의 필요와 욕구에 따라 애착을 열도록 유도하도록 설계되었습니다.”라고 연구원은 썼습니다.

이러한 미끼 전술의 변화는 초기 목표뿐만 아니라 동일한 조직 내의 다른 목표도 손상시켜 범위를 확장하여 캠페인의 성공 요인을 높이는 움직임일 수 있다고 연구원들은 제안했습니다.

“미끼 자체는 외교계 전반에 걸쳐 광범위하게 적용 가능하므로 더 많은 대상에게 전송 및 전달이 가능합니다.”라고 그들은 게시물에 썼습니다. “또한 외교 공동체는 물론 조직 내부의 다른 사람들에게도 전달될 가능성이 더 높습니다.”

Cloaked Ursa/Nobelium/APT29는 러시아 해외 정보국(SVR)과 연계된 국가 후원 그룹으로 아마도 가장 잘 알려져 있을 것입니다. SolarWinds 공격2020년 18,000월에 발견된 백도어로 시작되어 감염된 소프트웨어 업데이트를 통해 약 XNUMX개 조직으로 확산되었으며 여전히 소프트웨어 공급망 전반에 영향을 미치고 있습니다.

그룹은 그 이후로 지속적으로 활동해 왔으며 일련의 활동을 펼쳤습니다. 공격 이는 러시아의 전반적인 지정학적 입장과 일치합니다. 다양한 외교부와 외교관들, 및 미국 정부. 사건 전반에 걸친 공통 분모는 전술과 맞춤형 맬웨어 개발의 정교함.

Unit 42는 공격 대상을 포함하여 Cloaked Ursa의 다른 알려진 캠페인과 유사점을 지적했으며 코드는 그룹의 다른 알려진 악성 코드와 중복됩니다.

시민사회에 대한 APT 사이버공격 완화

연구원들은 Cloaked Ursa와 같은 APT의 정교하고 영리한 공격에 희생되지 않도록 외교 임무를 수행하는 사람들에게 몇 가지 조언을 제공했습니다. 그 중 하나는 관리자가 새로 배정된 외교관이 도착하기 전에 해당 지역의 사이버 보안 위협에 대해 교육한다는 것입니다.

일반적으로 정부 또는 기업 직원은 겉보기에 무해하거나 합법적인 사이트에서도 다운로드에 항상 주의해야 하며, URL 단축 서비스를 사용할 때 URL 리디렉션을 관찰하기 위해 특별한 예방 조치를 취해야 합니다. 이는 피싱 공격의 특징일 수 있기 때문입니다.

사람들은 또한 피싱의 피해자가 되지 않도록 이메일 첨부 파일에 세심한 주의를 기울여야 한다고 연구진은 말했습니다. 열려는 파일이 원하는 파일인지 확인하기 위해 파일 확장자 유형을 확인해야 하며, 확장자가 일치하지 않는 파일을 피하거나 파일의 성격을 난독화하려고 시도해야 합니다.

마지막으로 연구원들은 외교관 직원들이 원칙적으로 JavaScript를 비활성화할 것을 제안했습니다. 이렇게 하면 프로그래밍 언어 기반의 모든 악성 코드가 실행될 수 없게 됩니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats