쓰레기방랑벌레

러시아 연방보안국(FSB)과 연계된 사이버 스파이 활동가들이 우크라이나 기관을 대상으로 공격에 LitterDrifter라는 USB 전파 웜을 사용하는 것으로 밝혀졌습니다.

이 공격을 조율하는 독립체는 Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm 및 Winterflounder와 같은 별칭으로도 알려진 Gamaredon 으로 식별됩니다. 이 해커들이 사용하는 최근 전략은 이 그룹이 광범위한 캠페인을 수행한 다음 특정 목표를 겨냥한 세심한 데이터 수집 노력을 수행하는 것으로 특징지어집니다. 이러한 표적의 선택은 간첩 목적에 의해 주도되는 것으로 추정됩니다.

LitterDrifter가 초기 목표를 넘어 확산되었습니다.

LitterDrifter 웜은 두 가지 주요 기능을 자랑합니다. 연결된 USB 드라이브를 통해 악성 코드를 자동으로 유포하고 위협 행위자의 명령 및 제어(C2, C&C) 서버와 통신을 설정합니다. 이는 연구원들이 2023년 6월에 공개한 이전에 공개된 PowerShell 기반 USB 웜의 발전을 의미한다는 의혹이 있습니다.

VBS로 제작된 스프레더 모듈은 무작위로 이름이 지정된 미끼 LNK와 함께 USB 드라이브 내에서 웜을 은밀하게 배포하는 역할을 담당합니다. "LitterDrifter" 명명법은 'trash.dll'이라는 초기 오케스트레이션 구성 요소에서 파생되었습니다.

Gamaredon은 C2 서버로 사용되는 실제 IP 주소에 대한 자리 표시자로 도메인을 활용하는 C&C에 대한 독특한 접근 방식을 채택합니다.

또한 LitterDrifter는 텔레그램 채널에서 추출한 C&C 서버에 연결하는 기능을 보여줍니다. 이는 위협 행위자가 2023년 초부터 지속적으로 사용하는 전술입니다. 사이버 보안 전문가는 미국, 베트남에서의 활동을 나타내는 탐지를 통해 우크라이나 이외의 지역에서도 잠재적인 감염 징후를 식별했습니다. , 칠레, 폴란드, 독일, 홍콩.

Gamaredon은 공격 기술을 진화시키고 있습니다

올해 내내 Gamaredon은 공격 전략을 지속적으로 조정하면서 적극적인 입지를 유지해 왔습니다. 2023년 7월, 위협 행위자가 최초 침해 후 단 1시간 이내에 민감한 정보를 전송하는 데 성공하면서, 공격자의 신속한 데이터 유출 능력이 분명해졌습니다.

LitterDrifter가 광범위한 수집 작업을 용이하게 하기 위해 특별히 제작되었다는 것은 분명합니다. 간단하면서도 효율적인 기술을 사용하는 이 악성코드는 해당 지역의 광범위한 대상에 도달할 수 있도록 보장합니다.

러시아-우크라이나 전쟁이 시작된 이후 위협 행위자 활동 증가

이번 사건은 우크라이나 국가사이버보안조정센터(NCSCC)가 국가 지원을 받는 러시아 해커들이 이탈리아, 그리스, 루마니아, 아제르바이잔을 포함한 유럽 전역의 대사관에 대한 공격을 조율한 사건을 공개한 시기와 일치합니다.

APT29 (Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard 등으로도 알려짐)에 기인한 이 침입은 BMW 판매 주장과 같은 기만적인 미끼를 통해 최근 공개된 WinRAR 취약점(CVE-2023-38831)을 악용합니다. 위협 행위자가 이전에 사용한 테마입니다.

공격 순서는 특수 제작된 ZIP 파일에 대한 링크가 포함된 피싱 이메일을 피해자에게 배포하면서 시작됩니다. 이 결함은 실행 시 Ngrok에 호스팅된 원격 서버에서 PowerShell 스크립트를 가져오는 데 악용됩니다. 러시아 정보국 해킹 그룹에 의한 CVE-2023-38831 취약점의 반복적인 악용은 점점 더 인기를 얻고 정교해지고 있음을 강조합니다.

또한 CERT-UA(우크라이나 컴퓨터 긴급 대응 팀)는 안전하지 않은 RAR 아카이브를 유포하는 피싱 캠페인에 대한 정보를 공개했습니다. 이 아카이브에는 우크라이나 보안국(SBU)의 PDF 문서가 포함되어 있는 것으로 알려져 있습니다. 그러나 실제로는 Remcos RAT 배포로 이어지는 실행 파일이 들어 있습니다.