사이버 보안최근 러시아 농업 기업과 국영 연구 기관을 대상으로 한 악명 높은 사이버 첩보 조직인 클라우드 아틀라스의 스피어 피싱 공격이 연이어 발생해 업계에 경각심을 불러일으켰습니다. 이 소식은 올해 초 그룹-IB 팀이 분리된 후 설립된 독립 사이버 보안 회사 F.A.C.C.T.의 보고서에서 나왔습니다.
윤투 조직은 적어도 2014년부터 활동했으며 클린 우르사, 인셉션, 산소, 레드 옥토버 등 여러 가명을 사용하며 정체를 알 수 없는 상태로 남아 있습니다. 이 조직은 러시아, 벨라루스, 아제르바이잔, 터키, 슬로베니아 등의 국가를 대상으로 오랜 기간 사이버 첩보 활동을 해온 것으로 악명이 높습니다.
2022년 12월, 두 보안 회사인 Check Point와 Positive Technologies는 클라우드 아틀라스 조직의 정교한 공격 방법론을 발견했는데, 여기에는 PowerShower라는 PowerShell 기반 백도어 프로그램의 배포와 공격자가 제어하는 서버와 통신할 수 있는 DLL 멀웨어 구성 요소가 포함되어 있었습니다.
교묘한 전술: 오래된 취약점을 이용해 악성 파일의 다운로드를 유도하는 방법
이 공격은 CVE-2017-11882 취약점을 악용한 악성 문서가 포함된 일반적인 미끼 이메일로 시작되었습니다. 이 취약점은 마이크로소프트 오피스 수식 편집기의 6년 된 메모리 손상 결함으로, 클라우드 그래프 조직은 2018년 10월부터 악성 프로그램을 실행하기 위해 이 취약점을 악용하기 시작했습니다.
2019년 8월 보고서에서 카스퍼스카이는 "클라우드 그래프 조직의 대규모 스피어 피싱 공격 캠페인은 간단하지만 매우 효과적인 이 방법을 계속 사용하여 공격 대상의 정보를 훔치고 있습니다. 다른 공격 그룹과 달리 클라우드 그래프 조직의 최근 공격 캠페인은 오픈 소스 임플란트를 사용하는 대신 맞춤형 멀웨어를 사용하여 은밀성을 높였습니다."
F.A.C.C.T. 보고서에 따르면 최근의 공격은 이전에 포지티브 테크놀로지스가 발견한 공격과 유사하며, 이 공격 역시 CVE-2017-11882 취약점을 악용하여 악성 RTF 템플릿을 삽입하고 난독화된 HTA 파일을 다운로드 및 실행합니다. 특히, 이러한 공격 이메일은 일반적으로 러시아의 인기 이메일 서비스인 Yandex Mail과 VK의 Mail.ru에서 발송됩니다.
그런 다음 악성 HTML 애플리케이션은 비주얼 베이직 스크립트(VBS) 파일을 실행하고, 결국 원격 서버에서 알 수 없는 VBS 코드를 다운로드하고 실행하여 공격 프로세스를 완료합니다.
"클라우드 매핑 조직은 매우 정교하며 공격의 모든 측면을 조율합니다."라고 포지티브 테크놀로지스는 작년 보고서에서 이 그룹에 대해 설명했습니다. "이 그룹의 공격 도구는 수년 동안 크게 변하지 않았으며, 인증을 통한 일회성 페이로드 요청과 합법적인 클라우드 스토리지 및 Microsoft Office의 기능을 활용하여 탐지를 회피합니다."
러시아를 노리는 또 다른 멀웨어인 디코이 독(Decoy Dog)에 주의하세요.
클라우드 매핑 조직의 공격 외에도 최소 20개의 러시아 조직이 공격을 받은 것으로 보고된 또 다른 멀웨어인 디코이 독(Decoy Dog)은 퓨피 RAT의 변종이며, 이 멀웨어는 헬하운즈라는 또 다른 지능형 지속적 위협 조직의 소행으로 추정됩니다.
이 멀웨어는 공격자가 감염된 호스트를 원격으로 제어할 수 있게 해줄 뿐만 아니라, 원격 측정 데이터를 "Lamir Hasabat"(@lahat)이라는 마스토돈 계정으로 전송하도록 설계된 스크립트도 함께 제공됩니다.
보안 연구원 스타니슬라프 피조프와 알렉산드르 그리고리안은 "디코이 독의 첫 번째 버전에 대한 정보가 공개된 후, 멀웨어 제작자들은 트래픽과 파일 시스템에서 디코이 독의 탐지율을 크게 높이기 위해 여러 단계를 밟았습니다."라고 말했습니다.
보안 경보: 하푼 공격에 주의하고 소프트웨어 취약점을 최신 상태로 유지하세요.
이번 사건을 통해 사용자와 기업은 스피어 피싱 공격의 위험성에 대해 다시 한 번 주의를 기울여야 합니다. 보안 취약점을 수정하기 위해 소프트웨어를 적시에 업데이트하고, 신뢰할 수 있는 보안 소프트웨어를 설치하며, 의심스러운 이메일에 주의를 기울이는 것은 이러한 공격을 방어하기 위한 중요한 조치입니다.
SnowFlake의 원본 글, 재생산 시 출처 표시: https://cncso.com/kr/cloud-atlas-spear-phishing-attacks-hit-russian-firms.html
