ClickCease 클라우드 아틀라스 피싱 공격: 러시아 기업 주의

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

클라우드 아틀라스 피싱 공격: 러시아 기업 주의

와자핫 라자

2024년 1월 12일 TuxCare 전문가 팀

사이버 보안 위협의 환경 2024년 사이버 보안 위협 는 전례 없는 도전 과제를 제시하며 디지털 생태계를 보호하기 위한 선제적이고 적응력 있는 접근 방식을 요구합니다. 이와 관련하여 최근 발생한 사이버 스파이 사건을 소개합니다. 클라우드 아틀라스라고 알려진 유명 해커 그룹이 러시아의 한 농업 산업 기업과 국영 연구 기업을 노리고 있습니다. 이러한 발견은 새로운 스피어 피싱 공격의 스피어 피싱 공격의 새로운 물결 클라우드 아틀라스 피싱 공격 의 새로운 물결이 러시아 조직에 빠르게 영향을 미치고 있습니다.


다량의 위협 행위자


러시아 조직에 대한 클라우드 아틀라스 피싱 공격
의 복잡성과 빈도가 그 어느 때보다 급증하고 있습니다. 클린 우르사, 인셉션, 산소, 레드 옥토버 등의 별칭으로도 알려진 클라우드 아틀라스는 적어도 2014년부터 사이버 스파이 그룹으로 활동해 왔습니다. 2014. 정체를 알 수 없는 이 위협 행위자는 러시아, 벨라루스, 아제르바이잔, 터키, 슬로베니아 등의 국가를 대상으로 지속적인 캠페인을 벌이는 것으로 악명이 높습니다.


클라우드 아틀라스 피싱 공격 - 방법론


지능형 지속 위협(APT)
는 사이버 보안 환경에서 계속해서 엄청난 도전 과제가 되고 있습니다. 2022년 12월, Check Point와 Positive Technologies의 공동 보고서에서는 Cloud Atlas가 조율하는 다단계 공격 시퀀스에 대해 설명했습니다. 이 캠페인은 PowerShower로 알려진 PowerShell 기반 백도어와 위협 행위자가 제어하는 서버와 통신할 수 있는 DLL 페이로드의 배포로 이어졌습니다.

초기 진입 지점 클라우드 아틀라스 사이버 스파이 의 최초 진입 지점은 Microsoft Office의 방정식 편집기에서 6년 전에 발견된 메모리 손상 결함인 CVE-2017-11882를 악용하는 미끼 문서가 포함된 피싱 메시지입니다. 이 결함은 악성 페이로드의 실행을 시작합니다. 악성 페이로드의 실행을 시작하며, Cloud Atlas는 2018년 10월부터 이 기법을 사용했습니다.


기업 환경에서의 이메일 피싱


다른 많은 침입 세트와 달리 클라우드 아틀라스는 최근 캠페인에서 오픈 소스 임플란트 사용을 자제하여 눈에 띄지 않게 하려고 합니다. 카스퍼스카이는 2019년 8월에 이 그룹의 대규모 스피어 피싱 캠페인이 간단하면서도 효과적인 방법을 지속적으로 사용하여 표적을 손상시킨다고 지적했습니다.

파이어아이는 최신 킬 체인이 포지티브 테크놀로지스에서 설명한 것과 유사하며, 다음과 같은 익스플로잇에 성공했다고 설명했습니다. CVE-2017-11882 를 성공적으로 익스플로잇하여 셸코드를 위한 길을 열었다고 설명했습니다. 이 셸코드는 난독화된 HTA 파일을 다운로드하고 실행하는 역할을 합니다. 특히, 이 악성 이메일은 러시아의 인기 있는 이메일 서비스인 얀덱스 메일과 VK의 Mail.ru에서 발신됩니다.


클라우드 아틀라스 해킹 기법


포지티브 테크놀로지스는 클라우드 아틀라스의 수명과 신중한 계획에 대해 언급하며, 이 그룹의 툴킷이 수년 동안 일관성을 유지해 왔다고 강조했습니다. 이 그룹은 일회성 페이로드 요청을 사용하고 이를 검증하여 연구자들로부터 멀웨어를 숨기려고 시도합니다. 

합법적인 클라우드 스토리지와 잘 문서화된 소프트웨어 기능, 특히 Microsoft Office를 활용함으로써 Cloud Atlas는 네트워크 및 파일 공격 도구의 탐지를 회피합니다. 이는 조직이 다음을 목표로 하는 전략과 기술의 우선순위를 정해야 할 필요성을 강조합니다. 국가가 후원하는 사이버 공격으로부터의 보호.


증가하는 우려


이 폭로는 러시아에서 최소 20개 조직이 Pupy RAT의 변형 버전인 Decoy Dog의 피해를 입었다는 사실을 인정하는 것과 일치합니다. 이러한 침해는 헬하운드라고 알려진 지능형 지속적 위협 공격자의 소행입니다. 활발하게 유지 관리되는 이 멀웨어는 감염된 호스트를 원격으로 제어할 수 있습니다. 이 멀웨어에는 원격 분석 데이터를 Mindly.Social 인스턴스의 "Lamir Hasabat"(@lahat)이라는 이름의 마스토돈 '자동' 계정으로 전송하도록 설계된 스크립트가 포함되어 있습니다.

보안 연구원들은 디코이 독의 초기 버전에 대한 자료가 공개된 후 트래픽과 파일 시스템 모두에서 탐지 및 분석을 방해하기 위해 멀웨어가 지속적으로 진화하고 있다고 강조했습니다. 보시다시피 러시아 기업의 사이버 위협 은 점점 더 정교해져 사이버 보안 노력에 점점 더 큰 도전이 되고 있습니다.


결론


Cloud Atlas APT 그룹
은 사이버 위협의 세계에서 차별화되는 정교한 수준으로 운영됩니다. 사이버 보안 환경이 계속 진화함에 따라 Cloud Atlas와 같은 정교한 위협에 대한 경계를 늦추지 않는 것이 필수적입니다. 조직은 피싱에 대한 사전 예방적 피싱에 대한 사이버 보안 조치취약점을 패치하고 강력한 보안 프로토콜을 구현하는 등 피싱에 대한 사전 예방적 사이버 보안 조치를 취하여 사이버 공격자의 공격을 차단해야 합니다.

이러한 새로운 사이버 위협에 맞서기 위해서는 강력한 사이버 보안 조치 사용하는 것이 가장 중요합니다. 조직은 사이버 보안 태세를 강화하고 다음과 같이 진화하는 위협에 대한 방어를 강화해야 합니다. 클라우드 아틀라스 피싱 공격.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스The Record.

요약
클라우드 아틀라스 피싱 공격: 러시아 기업 주의
기사 이름
클라우드 아틀라스 피싱 공격: 러시아 기업 주의
설명
Cloud Atlas 피싱 공격으로부터 조직을 보호하세요. 러시아 기업을 노리는 최근 사이버 위협에 대한 인사이트를 얻으세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기