콜드라이버 맞춤형 멀웨어: 해커의 진화하는 공격 전술
최근 사이버 보안이 발전함에 따라 콜드라이버 맞춤형 멀웨어. 악명 높은 해킹 그룹인 콜드라이버는 공격 전술을 새로운 차원으로 끌어올려, 사용자 지정 멀웨어인 "Proton-decrypter.exe." 이전에 Microsoft가 공격자가 피싱 메시지를 통해 PDF 미끼를 보내는 데 주로 프로톤 드라이브를 활용했다고 밝힌 바 있기 때문에 이러한 명칭 선택은 중요한 의미를 갖습니다. 이 블로그 게시물에서는 다음과 같은 콜드라이버 맞춤형 멀웨어를 살펴보고 진화하는 공격 전술을 파헤치며 사이버 보안 환경에 대한 중요한 인사이트를 발견합니다.
양성자 드라이브 속임수
구글 위협 분석 그룹(TAG) 연구원들이 를 통해 공격에 사용된 PDF 문서가 프로톤 드라이브에서 호스팅되었다고 밝혔습니다. 흥미롭게도 공격자들은 이 도구가 이 클라우드 플랫폼에서 호스팅되는 파일의 암호를 해독하기 위한 것이라고 주장합니다. 그러나 현실은 훨씬 더 사악합니다. 소위 암호 해독기라고 불리는 이 도구는 사실 SPICA라는 백도어입니다. 이 백도어는 콜드라이버 공격의 주요 표적이 되는 백도어는 는 위협 행위자에게 표적 시스템에 대한 은밀한 액세스 권한을 부여하는 동시에 미끼 문서를 표시하여 사용자를 오도하고 유지합니다.
스카우트에서 SPICA로
위드시큐어(구 에프시큐어)의 이전 연구 결과는 콜드라이버가 스카우트라는 경량 백도어를 사용한다는 사실을 밝혀냈습니다. 이 멀웨어 도구는 해킹팀 원격 제어 시스템(RCS) 갈릴레오 해킹 플랫폼에서 유래한 것으로, 다음에서 관찰되었습니다. 스피어 피싱 캠페인 에서 관찰되었습니다. 스카우트는 기본 시스템 정보와 스크린샷을 수집하고 추가 멀웨어를 설치할 수 있도록 하는 초기 정찰 도구로 사용됩니다.
최신 개발인 SPICA는 다음을 나타냅니다. 콜드라이버의 첫 번째 맞춤형 멀웨어인. 이 악성코드는 웹소켓을 통한 JSON을 활용하여 명령 및 제어(C2)를 사용하여 임의의 셸 명령 실행, 웹 브라우저에서 쿠키 탈취, 파일 업로드 및 다운로드, 파일 열거 및 반출을 가능하게 합니다. 지속성은 예약된 작업을 사용하여 유지됩니다.
콜드라이버의 SPICA 멀웨어
실행 시 SPICA는 임베디드 PDF를 디코딩하고 디스크에 기록한 후 사용자를 위한 미끼로 열어줍니다. 동시에 백그라운드에서 지속성을 설정하고 메인 C2 루프를 시작하여 실행 명령을 기다립니다. 이러한 정교함 SPICA 멀웨어 의 정교함은 해커가 손상된 시스템에서 다양한 악의적인 활동을 수행할 수 있는 다재다능함에 있습니다.
광범위한 캠페인 타임라인
증거에 따르면 콜드라이버가 SPICA를 사용한 시기는 2022년 11월로 거슬러 올라갑니다. 사이버 보안 부서는 여러 가지 변종을 확인했습니다. "암호화된" 특정 표적에게 전송된 유인 문서와 일치하도록 맞춤화된 다양한 SPICA 버전이 존재한다는 것을 나타냅니다. 이러한 콜드라이버 공격의 표적 섹터 국가적 행위자의 전략적이고 진화하는 접근 방식을 시사합니다.
제한적, 표적 공격
Google TAG는 SPICA에 감염된 피해자의 정확한 숫자를 파악하고 있지는 않지만, SPICA가 다음과 같은 분야에 배포된 것으로 추정하고 있습니다. "매우 제한적인 표적 공격"으로 의심하고 있습니다. 비정부기구(NGO), 전직 정보 및 군 관계자, 국방 부문, 북대서양조약기구(NATO) 정부의 유명 인사들이 주로 표적이 된 것으로 보입니다. 이러한 정밀한 표적 공격은 콜드라이버가 전략적 목표를 추구하기 위해 집중적으로 노력한다는 것을 의미합니다.
콜드라이버 맞춤형 멀웨어 - 국제적 대응
이번 폭로는 영국과 미국 정부가 스피어 피싱 작전에 연루된 혐의로 콜드라이버의 러시아 조직원 루슬란 알렉산드로비치 페레야트코와 안드레이 스타니슬라보비치 코리넷에 대해 제재를 가한 지 한 달 만에 나온 것입니다. 프랑스 사이버 보안 업체인 세코이아는 코리넷과 수많은 피싱 도메인 및 여러 서버로 구성된 이 그룹이 사용하는 것으로 알려진 인프라 간의 연결 고리를 추가로 폭로했습니다.
칼리스토의 가면 벗기기
세코이아는 콜드라이버의 핵심 멤버인 안드레이 스타니슬라보비치 코리네츠가 도메인 등록에 대한 전문 지식을 보유하고 있으며, 러시아 정보기관이 직접 또는 계약업체와의 관계를 통해 이 기술을 활용했을 가능성이 있다고 주장합니다. 이로 인해 콜드라이버 해커 그룹의 진화 세코이아는 콜드라이버 해커 그룹이 모스크바의 전략적 이익을 지원하는 활동을 하고 있다고 밝혔습니다. "칼리스토" 콜드라이버가 사용하는 도구 중 하나인 '칼리스토'가 러시아의 정보 활동에 기여하고 있다고 밝혔습니다.
대응 방안
지속적인 위협에 대응하기 위해 구글 태그는 사전 조치를 취하여 콜드라이버 커스텀 멀웨어 캠페인을 방해하기 위한 사전 조치를 취했습니다. 해킹 그룹과 관련된 것으로 알려진 모든 웹사이트, 도메인 및 파일을 세이프 브라우징 차단 목록에 추가했습니다. 피해를 입은 피해자 수에 미치는 정확한 영향은 아직 알려지지 않았지만, 이러한 노력은 콜드라이버의 추가 악용을 방지하는 데 목적이 있습니다.
웹 애플리케이션은 종종 서버 측 스크립트 에 의존하여 데이터를 처리하고 관리함으로써 사용자 경험의 기능과 상호 작용성을 향상시킵니다. 하지만 잠재적인 취약성을 방지하고 사용자에게 안전한 온라인 환경을 제공하려면 서버 측 스크립트에 대한 강력한 보안 조치를 구현하는 것이 필수적입니다.
결론
콜드라이버의 진화하는 전술은 다음과 같은 필요성을 강조합니다. 지속적인 사이버 보안 조치의 필요성을. 커스텀 백도어인 SPICA의 배포는 공격의 정교함이 확대되어 광범위한 악성 활동을 가능하게 한다는 것을 의미합니다. 이러한 위협에 대응하기 위한 국제적 협력이 강화됨에 따라 사이버 보안 커뮤니티는 끊임없이 진화하는 사이버 공격 환경으로부터 유명 개인과 조직을 보호하기 위해 경계를 늦추지 않고 있습니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 테크크런치.