Microsoft 알림: 콜드라이버 자격 증명 도난이 다시 증가하고 있습니다.
최근의 Microsoft 보안 경고에 따르면, 콜드라이버로 알려진 악명 높은 위협 행위자가 러시아에 전략적으로 중요한 기관을 대상으로 자격 증명 도용 활동을 확대하고 있습니다. 동시에 탐지를 회피할 수 있는 기능을 개선하여 우려가 커지고 있습니다. Microsoft의 사이버 위협 환경에서는 이 위협을 스타 블리자드(이전의 SEABORGIUM)라는 클러스터 이름으로 추적하고 있습니다, 빛을 비추다 의 심각성에 대해 콜드라이버 자격 증명 도난 상황의 심각성을 조명합니다. 블루 칼리스토, 블루찰리(또는 TAG-53), 칼리스토, 고사머 베어, TA446으로도 알려진 이 공격자는 우크라이나에 대한 국제 문제, 국방, 물류 지원과 관련된 개인과 조직을 지속적으로 표적으로 삼고 있습니다. 또한 러시아 국익에 부합하는 학술 기관과 정보 보안 회사도 예외는 아닙니다.
콜드라이버 자격 증명 도용
러시아 연방보안국(FSB)과 연계된 것으로 알려진 스타 블리자드의 역사는 적어도 다음과 같이 거슬러 올라갑니다. 2017. 이 위협 행위자는 표적이 된 기업의 로그인 페이지를 모방한 유사 도메인을 사용하며, 정교함을 추구하는 경향이 있습니다. 2023년 8월, 레코디드 퓨처는 콜드라이버의 공격 인프라와 관련된 94개의 새로운 도메인을 발견했습니다. 이 도메인들은 주로 정보 기술 및 암호화폐와 관련된 키워드를 특징으로 하며, 위협 행위자의 적응력을 보여줍니다.
콜드라이버 멀웨어 업데이트: 동적 회피 기법
Microsoft 보안 권고 에 따르면 2023년 4월부터 공격자가 서버 측 스크립트를 채택하여 인프라의 자동화된 검색을 방해하는 등 콜드라이버의 전술이 변화하고 있다고 합니다. 이제 콜드라이버는 hCaptcha에서 벗어나 브라우징 세션을 Evilginx 서버로 리디렉션합니다. 서버 측 자바스크립트 코드는 브라우저의 특성을 평가하여 플러그인 또는 셀레늄이나 팬텀JS와 같은 자동화 도구를 확인합니다. 평가 결과에 따라 리디렉터 서버는 브라우저 리디렉션을 진행할지 여부를 결정합니다. 이러한 동적 접근 방식은 회피 기능.
이메일 마케팅 서비스의 독창적인 활용
주목할 만한 업데이트로, 스타 블리자드는 HubSpot 및 MailerLite와 같은 이메일 마케팅 서비스를 캠페인에 통합했습니다. 이러한 서비스는 리디렉션 체인의 시작점 역할을 하며, 궁극적으로 크리덴셜 수집의 허브인 Evilginx 서버로 연결됩니다. 또한 위협 행위자는 도메인 이름 서비스(DNS) 공급업체를 활용하여 행위자가 등록한 도메인 인프라를 확인함으로써 보안 조치를 회피하기 위한 다각적인 접근 방식을 보여줍니다.
보안 대책이 있는 고양이와 쥐의 게임
회피 전술의 지속적인 변화와 개선에도 불구하고, 스타 블리자드는 여전히 이메일에 중점을 두고 있습니다. 자격 증명 도용. 조직 및 개인 이메일 계정을 모두 호스팅하는 클라우드 기반 이메일 공급업체가 주요 표적입니다. Microsoft는 공격자가 제어하는 인프라를 호스팅하기 위해 전용 가상 사설 서버(VPS)를 지속적으로 사용하는 것을 강조하며, 스피어 피싱 활동에 대한 위협 행위자의 노력을 강조합니다.
국제적 대응 및 제재
스타 블리자드 활동의 심각성은 국제적인 반응에서도 잘 드러납니다. 영국은 스타 블리자드가 자국의 정치 과정에 개입하려 했다는 혐의로 스타 블리자드를 고발했으며, 이에 따라 신원이 확인된 두 명의 멤버인 루슬란 알렉산드로비치 페레야트코와 안드레이 스타니슬라보비치 코리네츠에 대한 제재가 이루어졌습니다. 미국 법무부(DoJ)는 이들에 대한 기소장을 공개하여 이들이 스피어 피싱 캠페인에 연루된 사실을 밝혀냈습니다.
파이브 아이즈 인텔리전스 연합의 우려 사항
호주, 캐나다, 뉴질랜드, 영국, 미국으로 구성된 파이브 아이즈 인텔리전스 연합은 스타 블리자드의 수법에 대해 우려를 표명했습니다. 위협 행위자의 패턴에는 알려진 연락처를 사칭하고, 조작된 소셜 미디어 프로필을 만들고, 합법적인 조직과 유사한 악성 도메인을 설정하는 것이 포함됩니다. 이러한 수법은 스피어 피싱 공격을 시작하는 데 사용되며, 주로 유명 인사를 표적으로 삼습니다.
스피어 피싱 기법 공개
스타 블리자드의 스피어 피싱 공격은 세심한 연구와 준비 단계를 거쳐 공격 대상에 대한 정찰이 이루어집니다. 개인 이메일 주소를 사용하는 것은 기업의 네트워크 보안 제어를 우회하기 위한 전략적 조치입니다. 위협 행위자는 합법적인 서비스 로그인 페이지를 모방한 링크를 전달하기 전에 관계를 구축합니다. Microsoft는 스타 블리자드가 자주 사용하는 프로톤 계정에서 보낸 이메일에 특히 주의를 기울일 것을 경고합니다.
정의에 대한 법적 결과 및 보상
사이버 보안 위협 경고에 대응하여 사이버 보안 위협 경고에 따라 미국 재무부 해외자산통제실(OFAC)은 FSB가 해킹 및 유출 작전에 연루되어 있다고 발표했습니다. 재무부는 스타 블리자드 회원들이 자격 증명 수집 도메인을 설정하고 2단계 인증을 우회하는 도구를 사용했다고 비난했습니다. 이러한 제재에도 불구하고 미국 국무부는 스타 블리자드 회원의 신원을 밝혀내는 정보에 대해 1,000만 달러의 포상금을 지급한다고 발표하며 위협의 심각성을 강조했습니다.
전문가 인사이트 및 글로벌 영향력
크라우드스트라이크의 대적 공격 운영 책임자인 아담 마이어스(Adam Meyers)는 다음과 같은 진화를 강조하며 전문가들의 견해를 밝혔다. 콜드라이버 자격 증명 도용. 원래는 우크라이나와 관련이 있는 정부, 군대, 싱크탱크, 미디어 기관을 표적으로 삼았습니다, 콜드라이버 공격 동향 는 그 대상을 확대하고 있습니다. 고사머베어는 수집 작전을 통해 획득한 정보를 세탁하기 위해 친러시아 성향의 언론 매체를 이용한 것으로 의심받고 있어 우려스러운 진화를 보여주고 있습니다.
국제 외교적 대응
제재에 대한 대응으로 영국 주재 러시아 대사관은 제재를 다음과 같이 일축했습니다. "헛된 움직임" 그리고 "제대로 연출되지 않은 드라마의 행위"라고 일축했습니다. 블라디미르 푸틴 대통령은 서방 엘리트들이 제재를 이용해 분쟁을 유발하고 있다고 주장합니다. 이 Microsoft 경고 업데이트 는 콜드라이버와 그 활동을 둘러싼 복잡한 이야기에 또 다른 층위를 더합니다.
결론
스타 블리자드의 복잡한 작전을 통해 드러난 콜드라이버의 위협은 국제적인 공조 대응을 요구합니다. 크리덴셜 도난 위험의 크리덴셜 도난 위험 진화함에 따라 사이버 보안 전문가, 정보 기관, 정부 간의 협력이 무엇보다 중요해지고 있습니다. 경계, 보안 조치의 보안 조치및 대중의 인식은 인증정보 도난으로부터 다음으로부터 보호하려면 콜드라이버 자격증명 도용.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 OWASP.