러시아 APT 그룹, 우크라이나에 대한 사이버 공격 강화

오늘날의 휴전 조치와 민간인을 안전하게 대피시키기 위한 노력으로 우크라이나 전쟁이 잦아들고 흐르고 있지만 사이버 공간에서는 여전히 갈등이 계속되고 있습니다. 구글의 위협 분석 그룹(Threat Analysis Group)의 보고서에 따르면 러시아 정부를 지원하는 2개의 APT 가 우크라이나의 목표물을 공격하고 있고 1개의 중국군이 현재 상황을 이용하여 유럽의 목표물을 공격하고 있습니다.

러시아 및 중국 APT는 우크라이나, 유럽을 대상으로 함

Google이 우크라이나 대상에 대한 현재 사이버 공격을 주도하고 있다고 강조하는 두 친러시아 단체 는 APT28이라고도 하는 Fancy Bear 와 2021년 말 벨로루시와 연결된 활성 지속 위협 그룹인 Ghostwriter입니다.

Google은 또한 APT의 활동 증가를 보고하고 있습니다.중국 배우들과 인연을 맺은 머스탱 팬더. 중국 조직은 현재 여러 유럽 국가에서 진행 중인 분쟁 및 난민 유입과 관련된 피싱 미끼를 사용하여 유럽에 기반을 둔 기업을 표적으로 삼고 있습니다.

친러시아 APT에 의해 시작된 피싱 공격은 이전에 손상된 이메일 주소를 사용하고 잠재적인 피해자를 APT가 제어하는 페이지로 리디렉션합니다(대부분 표준 피싱 절차). Google은 Ghostwriter가 우크라이나와 폴란드 군대 및 정부 기관을 대상으로 피싱 캠페인을 시작하는 것을 발견했습니다.

구글은 크리덴셜 피싱에 사용되는 다수의 도메인이 구글의 '세이프 브라우징' 기능을 통해 이미 차단됐다고 보고했다. 도메인에는 "i dot ua-passport dot top" 및 "login dot credentials-email dot space"와 같은 특이한 이름이 포함되었습니다.

머스탱 팬더는 현재의 난민 상황을 이용합니다

한편, 중국의 Mustang Panda는 유럽 기업에 피싱 미끼를 발송하여 일종의 중요한 정보나 긴급성을 암시하는 이름이 포함된 악성 파일을 이메일에 첨부합니다. Google 보고서에는 "Ukraine.zip과 EU 국경의 상황"과 같은 파일 이름이 포함된 첨부 파일이 언급되어 있습니다. 첨부 파일에는 최종 페이로드의 다운로더로 작동하는 실행 파일이 포함됩니다.

Google의 위협 분석 그룹은 이미 필요한 조치를 취했으며 피싱 캠페인의 대상이 되는 국가의 모든 기관과 당국에 알렸습니다.