알려지지 않은 위협 행위자가 2023년부터 사용된 오래된 Microsoft Office 원격 코드 실행(RCE) 익스플로잇을 사용하여 2017년 말 우크라이나의 정부 기관을 표적으로 삼았습니다.CVE-2017-8570)를 초기 벡터로 사용하고 군용 차량을 미끼로 사용합니다.
위협 행위자는 보안 메시징 플랫폼 Signal의 메시지를 통해 첨부 파일로 전송된 악성 PowerPoint 파일(.PPSX)을 사용하여 공격을 시작했습니다. 탱크용 지뢰 제거 블레이드에 대한 미 육군의 오래된 지침 매뉴얼로 가장한 이 파일은 실제로 Cloudflare가 보호하는 러시아 가상 사설 서버(VPS) 공급자 도메인에서 호스팅되는 외부 스크립트와 원격 관계를 갖고 있었습니다.
RCE에 따르면 이 스크립트는 CVE-2017-8570 익스플로잇을 실행하여 RCE를 달성했습니다. Deep Instinct 블로그 게시물 이번 주 공격에 대해서는 정보를 훔치려는 노력의 일환입니다.
까다로운 사이버 공격의 이면
기술적 핵심 측면에서 Cisco AnyConnect APN 구성으로 가장한 난독화된 스크립트는 지속성 설정, 디코딩 및 내장된 페이로드를 디스크에 저장하는 역할을 담당했으며, 이는 탐지를 피하기 위해 여러 단계에 걸쳐 발생했습니다.
페이로드에는 Cobalt Strike Beacon을 메모리에 로드하고 공격자의 명령 및 제어(C2) 서버의 명령을 기다리는 "vpn.sessings"라는 로더/패커 동적 링크 라이브러리(DLL)가 포함되어 있습니다.
Deep Instinct의 위협 연구소 팀장인 Mark Vaitzman은 침투 테스트 도구인 Cobalt Strike가 위협 행위자들 사이에서 매우 일반적으로 사용됨, 그러나 이 특정 비콘은 분석 속도를 늦추는 여러 기술에 의존하는 사용자 정의 로더를 사용합니다.
“초기 공간이 설정되면 공격자가 측면으로 이동할 수 있는 간단한 방법을 제공하기 위해 지속적으로 업데이트됩니다.”라고 그는 말합니다. "[그리고] 그것은 여러 가지 분석 방지 및 독특한 회피 기술로 구현되었습니다."
Vaitzman은 2022년에 Cobalt Strike에서 RCE를 허용하는 심각한 CVE가 발견되었다고 지적했으며, 많은 연구자들은 위협 행위자가 오픈 소스 대안을 만들기 위해 도구를 변경할 것이라고 예측했습니다.
“지하 해킹 포럼에서 여러 가지 크랙 버전을 찾을 수 있습니다.”라고 그는 말합니다.
그는 Cobalt Strike의 수정된 버전 외에도 위협 행위자들이 자신의 파일과 활동을 합법적이고 일상적인 OS 및 일반적인 애플리케이션 작업으로 가장하여 숨기고 제어를 유지하려고 지속적으로 시도한다는 점에서도 주목할 만하다고 말합니다. 가능한 한 오랫동안 감염된 시스템을 제거합니다. 그는 이번 캠페인에서 공격자들이 이 정보를 가져갔다고 말했습니다. '땅에서 살아보기' 전략 더.
"이 공격 캠페인은 아직 문서화되지 않은 몇 가지 위장 기술과 영리한 지속 방식을 보여줍니다."라고 그는 세부 사항을 공개하지 않고 설명합니다.
Cyberthreat Group의 제조사 및 모델을 알 수 없음
우크라이나가 표적이 됐다 러시아와의 전쟁 중에 여러 차례에 걸쳐 여러 위협 행위자에 의해 샌드웜 그룹 공격자의 주요 사이버 공격 유닛 역할을 합니다.
그러나 전쟁 중 대부분의 공격 캠페인과 달리 위협 연구소 팀은 이러한 노력을 알려진 위협 그룹과 연결할 수 없었습니다. 이는 이것이 새로운 그룹의 작업이거나 알려진 위협에 대해 완전히 업그레이드된 도구 세트를 대표하는 작업임을 나타낼 수 있습니다. 배우.
Qualys Threat Research Unit의 보안 연구 관리자인 Mayuresh Dani는 위협 행위자가 속성을 제거하는 데 도움이 되는 지리적으로 분산된 소스를 사용하면 보안 팀이 지리적 위치를 기반으로 표적 보호를 제공하기 어렵게 된다고 지적합니다.
“샘플은 우크라이나에서 업로드되었고, 두 번째 단계는 러시아 VPS 제공업체에서 호스팅 및 등록되었으며, 코발트 비콘[C2]은 폴란드 바르샤바에 등록되었습니다.”라고 그는 설명합니다.
그는 일련의 공격에서 가장 흥미로웠던 점은 초기 손상이 보안 Signal 앱을 통해 이루어졌다는 점이라고 말했습니다.
"그만큼 신호 메신저는 보안 관련 인력이 주로 사용하고 있습니다. 또는 언론인과 같이 비밀 정보를 공유하는 데 관여하는 사람들”이라고 그는 지적합니다.
보안 인식, 패치 관리로 사이버 방어력 강화
Vaitzman은 대부분의 사이버 공격이 피싱이나 이메일이나 메시지를 통한 링크 유인으로 시작되기 때문에 직원의 사이버 인식이 이러한 공격 시도를 완화하는 데 중요한 역할을 한다고 말합니다.
보안 팀의 경우 "또한 네트워크에서 제공된 IoC를 검색하고 Office가 최신 버전으로 패치되었는지 확인하는 것이 좋습니다"라고 Vaitzman은 말합니다.
Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 방어 관점에서 볼 때 오래된 공격에 대한 의존도가 강력한 패치 관리 시스템의 중요성을 강조한다고 말합니다.
“게다가 공격의 정교함은 이를 뛰어넘는 고급 탐지 메커니즘의 필요성을 강조합니다. 서명 기반 사이버 방어 접근 방식"수정된 악성 소프트웨어를 식별하기 위해 행동과 이상 탐지를 통합했습니다."라고 그녀는 말합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
