1)   APT28

 

트렌드 마이크로는 APT28 (Forest Blizzard, Pawn Storm) 그룹이 2022년 4월부터 2023년 11월까지 세계 각 지역에 Outlook 취약점 (CVE-2023-23397)을 이용한 Net-NTLMv2 해시 릴레이 공격을 실행했다고 공개했다.[1]

 

중동 및 아시아의 해킹된 이메일 계정을 이용해 외교, 에너지, 국방, 운송, 노동, 사회 복지, 금융, 지방 시의회, 중앙 은행, 법원, 국가 군부대 소방서를 공격했다.

 

2023년 11월과 12월에는 유럽 정부를 대상으로 한 자격증명 피싱 공격이 시작되었으며 이전 Net-NTLMv2 해시 릴레이 공격과 연관된다.

 

2)   Blackwood

 

ESET 은 중국, 일본, 영국의 개인 및 기업을 대상으로 한 사이버스파이 활동을 진행하는 새로운 Blackwood를 발견했다.[2]

 

이 그룹은 적어도 2018년부터 활동해온 것으로 파악되었으며, Tencent QQ, WPS Office, Sogou Pinyin 등의 정상 소프트웨어의 업데이트 요청을 탈취하는 방식으로 이루어졌다.

 

공격에 사용된 NSPX30는 업데이트 요청을 가로채는 AitM(adversary In The Middle)를 수행했다. 공격자들은 소프트웨어 업데이트 중에 암호화되지 않은 HTTP 트래픽을 탈취하여 NSPX30을 배포하는 네트워크 임플란트를 사용했으며 이들은 패킷 간섭을 통해 인프라를 숨기고 중국의 악성코드 대응 솔루션에 허용 목록을 추가하는 것이 목표이다.

 

NSPX30 임플란트는 여러 단계로 이루어져 있으며, 드로퍼, 설치 프로그램, 로더, 오케스트레이터, 백도어 등의 구성 요소를 포함하고 있다. NSPX30는 2005년 ‘Project Wood’의 백도어부터 시작되었다고 추정된다.

 

Blackwood는 C&C 인프라 위치를 숨기는 것을 가능하게 하며, 연구자들은 네트워크 임플란트를 라우터나 게이트웨이에 사용하여 AitM 이 용이하게 했다고 추정된다.

 

안랩은 Blackwood 그룹에서 사용한 악성코드의 변형이 2021년 한국 지역에서 활동했음을 확인했다.

 

해당 내용은 JSAC 2024에서 발표되었다.[3]

 

3)   Callisto (ColdRiver, Star Blizzard)

 

구글 TAG (Threat analysis Group)는 Callisto (ColdRiver, UNC4057, Star Blizzard) 그룹이 NGO, 전직 정보 및 군 관리자, NATO 관계자에 대한 공격 내용을 공개했다.[4]

공격자는 종종 특정 분야의 전문가나 타겟과 연성성이 있는 것처럼 가장한 계정을 사용했으며, 처음에 암호가 걸린 PDF 파일을 보내고, 문서를 읽을 수 없다고 응답하면 암호 해독 유틸리티로 가장한 SPICA 백도어를 전달했다.

 

SPICA 백도어는 Rust로 작성되었으며, 명령 및 제어(C2)를 위해 웹소켓을 통해 JSON을 이용한다.

SPICA 백도어는 쉘 명령 실행, 웹 브라우저 정보 훔치기, 파일 업로드 및 다운로드, 파일 시스템 내용 검색, 문서 추출 등의 기능을 가지고 있다.

 

4)   Charming Kitten (Mint Sandstorm)

 

Microsoft는 이란 이슬람 혁명수비대 (Islamic Revolutionary Guard Corps, IRGC)와 연관된 Charming Kitten (APT35, Mint Sandstorm, PHOSPHORUS) 그룹이 벨기에, 프랑스, 가자지구, 이스라엘, 영국, 미국의 고위 인사들을 대상으로 공격을 진행하고 있다고 발표했다.[5]

 

공격자는 뉴스 매체의 기자를 포함하여 유명 인사로 가장해 목표 대상에 이스라엘-하마스 전쟁 기사에 대한 의견을 요청했다. 신뢰 구축 후에 기사나 문서를 검토하는데 동의할 경우 악의적인 메일을 보내는 방식을 사용했다.

 

검토를 요청하는 RAR 파일에는 악의적 LNK 파일이 첨부되어 있으며, 여러 파일이 다운로드 된다.

감염된 시스템에서 수집된 정보는 documentLoger.txt 파일에 기록되었다.

 

공격에 MischiefTut와 MediaPI 악성코드를 사용했다.

 

5)   Kimsuky

 

Sangfor Qianlimu 보안 기술 센터는 Kimsuky 그룹이 LNK 파일을 이용한 공격 사례를 공개했다.[6]

 

LNK 파일의 이름은 디지털 화폐 / 금융 분야와 관련이 있으며, 이는 관련 업계 인사를 대상으로 했을 가능성이 있다. LNK 파일은 PowerShell 명령을 통해 “ps.bin”이라는 두 번째 단계 페이로드를 다운로드하고 실행하며 후속 페이로드 “r_enc.bin”은 Tutclient 원격 제어 구성 요소이다.

 

QiAnXin 위협 인텔리전스 센터는 한국 소프트웨어 회사 SGA의 제품 설치 프로그램으로 위장한 비밀 도용 공격 샘플을 발견했다.[7] 설치 프로그램은 악성 DLL 파일을 몰래 실행한다. 악성 DLL은 Go 언어로 작성되었으며, 감염된 기기에 대한 다양한 정보를 수집하여 공격자에게 다시 전송한 후 공격 흔적을 지웠다.

 

---

[1] https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

[2] https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/

[3] https://jsac.jpcert.or.jp/en/timetable.html

[4] https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

[5] https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs/

[6] https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&idx=1&sn=22e56ee213d9e5229371ad3e082ebfab

[7] https://zhuanlan.zhihu.com/p/680534132