러시아 해커 그룹 Shuckworm, 여전히 우크라이나 보안 기관을 타겟으로 삼고 있음

보안 분석가들은 Broadcom의 일부인 Symantec에서 러시아 정부 지원 해커 그룹 Gamaredon, 즉 Shuckworm이 군사 및 보안 기관과 같은 우크라이나의 보안 조직을 여전히 타겟으로 삼고 있으며, 새롭게 업데이트된 툴킷과 감염 기법을 사용하고 있다고 보고했습니다.

보안 분석가들은 위협 행위자들이 최근에 USB 악성코드를 사용하여 손상된 네트워크 내에서 더 많은 시스템으로 확산하기 시작했다고 언급했습니다.

이전에는 FSB와 연관된 러시아 해커들이 우크라이나 조직에 대해 정보 탈취기를 사용하고, 새로운 감염을 위해 기본 Word 템플릿 해커를 활용하면서 그들 자신의 Pterodo 악성코드 변종을 사용하고 있는 것이 발견되었습니다.

현재 Gamaredon의 최근 활동에서 더 흥미로운 점은 그들이 HR 부서를 타겟으로 삼고 있다는 점으로, 이는 아마도 위협 행위자들이 손상된 조직 내에서 스피어 피싱 공격을 노리고 있다는 것을 나타냅니다.

분석가의 보고서에 따르면, 러시아 해커 그룹의 활동은 2월과 3월에 증가했으며, Gamaredon은 2023년 5월까지 감염된 일부 기계에서 그들의 존재감을 계속 느끼게 했습니다.

러시아 정부 지원 해커 그룹은 여전히 초기 감염을 위해 피싱 이메일에 의존하고 있습니다. 위협 행위자들의 타겟은 군사 및 보안 조직이며, 이들은 또한 조직의 HR 부서에 집중하고 있습니다.

위협 행위자들의 피싱 이메일에는 SFX, RAR, DOCX, LNK 및 HTA 첨부파일이 포함되어 있으며, 타겟이 이를 열면 첨부파일이 PowerShell 명령을 시작하여 위협 행위자의 C2 서버에서 Pterodo 페이로드를 다운로드합니다.

위협 연구 팀인 Symantec은 올해 1월부터 4월까지 다양한 수준의 난독화를 사용하여 25개의 Powershell 스크립트 변종을 테스트했으며, 정적 탐지 규칙을 피하기 위해 서로 다른 Pterodo 다운로드 IP 주소를 가리켰습니다.

읽기: Royal Ransomware가 기업을 공격하기 위해 Blacksuit Encryptor 사용

PowerShell은 손상된 장치에 복사되고 rtk.lnk 확장자를 사용하여 바로 가기 파일을 생성합니다. 스크립트에 의해 생성된 LNK는 다양한 이름을 가지며, 그 중 일부는 타겟의 관심을 끌기 위해 선택됩니다. 예를 들어,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

피해자가 이러한 파일을 열면 PowerShell 스크립트가 감염된 컴퓨터의 모든 드라이브를 나열하고 자신을 이동식 USB 디스크에 복사하여 감염된 네트워크 내에서의 측면 이동 가능성을 높입니다.

이와 더불어, 분석가들은 해커 그룹이 손상된 기계 중 하나에서 foto.safe 파일을 발견했으며, 이 파일은 base64로 인코딩된 PowerShell 스크립트를 포함하고 있습니다.

위협 연구 팀에 따르면, 이 기계는 감염된 USB 드라이브가 기계에 연결된 후 손상되었습니다. 즉, USB 드라이브가 어떻게 감염되었는지는 여전히 불확실합니다.

Symantec은 USB 드라이브가 위협 행위자들에 의해 타겟 네트워크 내에서의 측면 이동을 위해 사용될 가능성이 있으며, 타겟 조직 내에서 네트워크에 연결되지 않은 구성 요소에 접근하는 데 도움이 될 수 있다고 경고합니다.

읽기: Atomic Wallet의 손상으로 수백만 개의 암호화폐가 도난당함