러시아, 벨라루스 그룹을 노리는 스피어 피싱 캠페인
최근 보고에 따르면 러시아와 벨라루스의 다양한 조직이 스피어 피싱 캠페인의 표적이 되고 있습니다. 이러한 조직은 비영리 단체, 미디어, 국제 정부 부문에 속해 있습니다. 이러한 스피어 피싱 캠페인을 조직한 위협 행위자들은 러시아 정부와 이해관계가 일치하는 것으로 보입니다. 이 글에서는 이러한 러시아의 사이버 공격에 대해 자세히 알아보고 자세한 내용을 살펴봅니다. 시작하겠습니다!
스피어 피싱 캠페인: 위협 행위자 및 표적
이용 가능한 정보에 따르면 두 캠페인 중 하나는 콜드라이버의 소행으로 밝혀졌습니다. COLDRIVER 위협 행위자는 러시아 연방보안국(FBS)과 연계된 것으로 알려진 온라인 공격자입니다. 콜드워스트렐 위협 클러스터는 두 번째 공격의 책임이 있는 것으로 추정됩니다.
위에서 언급한 조직 외에도 스피어 피싱 캠페인의 다른 표적에는 러시아에 반대하는 망명 인사, 미국 싱크탱크 및 정책 분야 관계자, 전 우크라이나 주재 미국 대사 등이 있습니다. 비영리 디지털 시민권 단체인 Access Now는 이번 공격과 공격 대상에 대한 자세한 내용을 다음과 같이 밝혔습니다:
"두 종류의 공격 모두 표적 조직의 구성원을 더 잘 속이기 위해 고도로 맞춤화되었습니다. 우리가 관찰한 가장 일반적인 공격 패턴은 손상된 계정 또는 피해자가 알고 있는 사람의 실제 계정과 유사한 계정에서 이메일을 보내는 것이었습니다."
러시아의 사이버 공격: 도구와 기법
이러한 스피어 피싱 캠페인의 공격 전술은 사회 공학적 방법을 사용합니다. 표적이 된 피해자를 공격하기 위해 악성 링크가 포함된 PDF 파일을 삽입합니다. PDF 파일은 피해자가 잘 아는 조직이나 개인으로 위장한 Proton 메일 계정에서 보낸 이메일을 사용하여 배포됩니다.
피해자가 링크를 클릭하면 인증정보 수집 페이지로 리디렉션됩니다. 시티즌랩은 이러한 스피어 피싱 캠페인과 관련된 자세한 내용을 다음과 같이 설명했습니다 :
"공격자가 '첨부된' 파일의 검토를 요청하는 초기 메시지에 PDF 파일 첨부를 생략하는 경우가 종종 관찰되었습니다. 이는 의도적인 것으로, 커뮤니케이션의 신뢰성을 높이고 탐지 위험을 줄이며 초기 접근 방식(예: 첨부 파일의 부재를 지적하는 등)에 응답한 대상만 선택하기 위한 의도라고 생각합니다."
프로톤 메일과 프로톤 드라이브는 이전에 이 두 위협 공격자들이 사이버 공격에 사용한 적이 있으며, 이러한 전술은 2023년 3월에 처음 기록되었습니다. 두 위협 행위자 간의 유사점에도 불구하고 콜드워스트렐은 악의적인 목적으로 사용되는 유사 도메인에 있어서는 콜드라이버와 차이가 있습니다.
스피어 피싱 캠페인은 보다 정교한 공격 전술을 발견되지 않도록 숨기면서 글로벌 위협을 유지할 수 있다는 점에서 위협 행위자에게 효과적인 기법이라는 점을 언급할 필요가 있습니다. 사이버 보안 전문가는 효과적인 보호 전략을 개발하기 위해 이러한 전술을 이해해야 합니다.
결론
콜드라이버와 콜드워스트렐이 배후에 있는 이러한 스피어 피싱 캠페인은 러시아의 이익에 부합하는 사이버 위협 공격자들의 진화하는 전술을 보여줍니다. 이들은 사회 공학 및 인증 정보 수집을 악용하여 러시아 정책에 반대하는 조직과 개인에게 심각한 위협을 가하고 있습니다. 이러한 공격에 대비하여 선제적인 보안 프로토콜을 사용하는 것은 노출 위험을 낮추는 데 도움이 될 수 있으므로 필수적입니다.