PicassoLoader 악성코드
Infosec 전문가들은 우크라이나와 폴란드의 목표물에 대한 일련의 사이버 공격 캠페인을 확인했습니다. 사이버 범죄자는 정부 기관, 군사 조직 및 민간 사용자를 침해하는 데 중점을 둡니다. 이러한 캠페인은 중요한 데이터를 불법적으로 획득하고 손상된 시스템에 대한 지속적인 원격 액세스를 설정하는 것을 목표로 합니다.
이 침입 캠페인은 2022년 4월부터 2023년 7월까지 다양한 전술을 사용합니다. 피싱 미끼와 유인 문서는 피해자를 속이고 PicassoLoader로 알려진 다운로더 맬웨어의 배포를 용이하게 하는 데 사용됩니다. 이 위협적인 소프트웨어는 다른 안전하지 않은 도구, 특히 Cobalt Strike Beacon 및 njRAT 를 시작하기 위한 게이트웨이 역할을 합니다.
피싱 미끼는 개인을 속여 사용자 이름, 암호 또는 계정 자격 증명과 같은 중요한 정보를 공개하는 데 사용되는 기만적인 기술입니다. 미끼 문서는 합법적인 것처럼 보이도록 설계된 위장된 파일이지만 실제로는 안전하지 않은 페이로드를 포함하고 있습니다. 피해자가 이러한 미끼 문서와 상호 작용하도록 유도함으로써 공격자는 시스템에서 PicassoLoader 다운로더를 실행할 수 있습니다.
PicassoLoader가 성공적으로 배포되면 공격의 다음 단계를 위한 도관 역할을 합니다. 이를 통해 Cobalt Strike Beacon과 njRAT라는 두 가지 추가 유형의 맬웨어를 설치하고 실행할 수 있습니다. Cobalt Strike Beacon은 공격자가 손상된 시스템에 대한 무단 액세스 및 제어 권한을 얻을 수 있는 정교한 침투 테스트 도구입니다. njRAT는 공격자가 감염된 시스템에 대한 무단 원격 액세스를 제공하여 탐지되지 않은 채 악의적인 활동을 수행할 수 있도록 하는 원격 액세스 트로이 목마입니다.
목차
PicassoLoader 멀웨어는 다단계 감염 체인의 일부로 배포됩니다.
PicassoLoader 배후의 공격자는 다단계 감염 체인을 활용하여 유해한 활동을 수행했습니다. 초기 단계에서는 손상된 Microsoft Office 문서를 사용했으며 Microsoft Excel 및 PowerPoint 파일 형식이 가장 일반적으로 사용되었습니다. 이러한 문서는 공격의 시작점 역할을 합니다.
Office 문서에 이어 실행 가능한 다운로더와 페이로드가 이미지 파일 내에 숨겨져 있습니다. 이 전술은 보안 시스템에서 다운로더 및 페이로드 감지를 더 어렵게 만들기 위해 사용되었을 가능성이 높습니다. 공격자는 이미지 파일에 숨어 보안 조치를 우회하고 침입 성공 가능성을 높이는 것을 목표로 합니다.
이러한 공격 중 일부는 UAC-0057 또는 UNC1151로도 추적되는 GhostWriter로 알려진 위협 행위자에 기인합니다. GhostWriter의 동기와 목표는 벨로루시 정부의 이익과 일치하는 것으로 여겨집니다.
우크라이나에 대한 수많은 표적 공격이 관찰되었습니다
우크라이나의 컴퓨터 비상 대응팀(CERT-UA)이 지난 1년 동안 이러한 공격의 일부를 이미 문서화했다는 점을 언급할 가치가 있습니다. 한 가지 주목할만한 사례는 2022년 7월에 Agent Tesla 맬웨어를 전달하기 위해 매크로가 포함된 PowerPoint 문서를 사용했습니다. 이 사건은 맬웨어를 배포하고 피해자의 시스템을 손상시키는 수단으로 매크로를 사용하는 것을 강조했습니다.
이러한 공격에 사용되는 감염 체인은 피해자가 Office 문서 내에서 매크로를 활성화하도록 유도하는 사회 공학 방법에 의존합니다. 매크로가 활성화되면 VBA 매크로가 트리거되어 PicassoLoader DLL 다운로더 위협이 배포됩니다. 그런 다음 이 다운로더는 공격자가 제어하는 사이트와 연결하여 겉보기에 합법적인 이미지 파일에 포함된 다음 단계 페이로드를 검색합니다. 최종 악성코드는 이 이미지 파일 안에 숨어 있습니다.
CERT-UA의 이러한 최근 공개는 SmokeLoader 맬웨어를 배포하는 여러 피싱 작업에 대한 보고와 일치합니다. 또한 계정에 대한 무단 제어를 목적으로 Telegram 사용자를 대상으로 하는 스미싱 공격이 확인되었습니다.
GhostWriter는 우크라이나를 노리는 사이버 범죄 그룹 중 하나일 뿐입니다
우크라이나는 악명 높은 러시아 국가 그룹 APT28을 비롯한 여러 위협 행위자의 표적이 되었습니다. APT28은 HTML 첨부 파일이 포함된 피싱 이메일을 보내는 전술을 사용하여 수신자가 UKR.NET 및 Yahoo!에 의심스러운 활동이 있다고 믿도록 속이는 전술을 사용하는 것으로 관찰되었습니다. 계정. 이메일은 사용자에게 암호를 변경하라는 메시지를 표시하지만 대신 로그인 자격 증명을 수집하도록 설계된 가짜 랜딩 페이지로 안내합니다.
이 최근의 발전은 러시아 군사 정보부(GRU) 관련 해커의 활동에서 관찰되는 더 광범위한 패턴의 일부입니다. 그들은 우크라이나에 대한 파괴적인 작전에서 '표준 5단계 플레이북'을 채택하여 공격의 속도, 규모 및 강도를 향상시키기 위한 의도적인 노력을 보여줍니다.
