Actor240524 공격 탐지: 새로운 APT 그룹이 ABCloader 및 ABCsync 악성코드를 이용하여 이스라엘 및 아제르바이잔 외교관을 표적으로 삼다

방어자들은 탐지를 피하고 지속성을 확보하기 위해 고급 적 도구 모음을 적용하는 Actor240524라는 새로운 APT 그룹을 발견했습니다. 2024년 7월 초, 적들은 아제르바이잔과 이스라엘의 외교관을 대상으로 한 스피어피싱 캠페인을 수행했습니다. 공격자는 아제르바이잔어 콘텐츠를 포함한 악성 Word 문서를 이용하여 공식 문서로 위장하여 대상 사용자의 민감한 데이터를 탈취하도록 설계되었습니다.

Actor240524 악성 활동 탐지

계속 증가하는 피싱 다양한 산업 분야의 조직에 대한 공격은 사이버 방어자들에게 여전히 큰 장애물입니다. 공격적 목적으로 AI 기술의 사용은 이 도전에 기여하여 2024년에 악성 이메일이 856% 증가 하게 되었으며 문제를 악화시켰습니다. SOC Prime 플랫폼은 집단 사이버 방어를 위한 보안 팀에 콘텐츠가 풍부한 탐지 알고리즘 세트를 제공하여 새로운 APT 그룹 Actor240524의 최근 스피어피싱 캠페인을 포함하는 피싱 공격을 방지하는 데 도움을 줍니다. 

탐지를 보기 위해 탐지 보기 버튼을 클릭하여 사용자 정의 태그 “Actor240524”로 필터링된 관련 탐지를 확인하세요. 모든 Sigma 규칙은 주요 SIEM, EDR, 데이터 레이크 기술과 호환되며, MITRE ATT&CK® 프레임워크와 정렬되어 있으며 맞춤화된 위협 인텔로 강화되었습니다. 

탐지 보기

보안 엔지니어는 또한 이 링크를 클릭하여 APT 공격과 관련된 악성 활동을 탐지하기 위한 SOC 콘텐츠 전체 모음을 얻을 수 있습니다. 이 링크. 

Actor240524 공격 분석

NSFOCUS Security Labs의 연구원들은 최근 이스라엘 및 아제르바이잔 외교관을 대상으로 한 새로운 스피어피싱 캠페인을 식별했습니다. 이는 공식 문서로 위장한 Word 파일에 해로운 매크로 코드를 삽입한 것입니다. 공격자의 TTP 분석에서 알려진 APT 그룹과의 연결이 발견되지 않았으며, 이를 통해 방어자들은 새로운 적의 활동을 Actor240524로 추적할 수 있습니다.  recently identified a novel spear-phishing campaign against Israeli and Azerbaijani diplomats, weaponizing Word files disguised as official documents and embedded with harmful macro code. The analysis of attacker TTPs has uncovered no link to any known APT groups, enabling defenders to track the novel adversary activity as Actor240524. 

이 공격 캠페인은 두 국가 간의 협력 관계에 초점을 맞추고 있으며, 피싱 공격 벡터를 통해 양국의 외교 인력을 구체적으로 타겟팅하고 있습니다. Actor240524의 작전은 ABCloader 및 ABCsync로 식별된 신형 트로이 목마를 사용하여 탐지를 피하면서 민감한 데이터를 탈취했습니다.

감염 체인은 흐릿한 이미지를 포함한 무기화된 피싱 Word 문서로 시작됩니다. 클릭 시 매크로 코드가 실행되고, VBA 프로그램을 사용하여 악성 페이로드를 특정 경로에 디코딩 및 저장한 후 ABCloader를 실행합니다. ABCloader가 실행되면 세 개의 실행 파일을 암호 해독 및 해제한 후 DLL을 로드하여 ABCsync 멀웨어를 실행합니다. 후자는 C2 서버에 연결하여 해당 작업을 실행하고 감염을 확산시킵니다.

ABCsync 멀웨어는 주요 공격 페이로드로서 원격 셸 실행, 사용자 데이터 변경, 손상된 시스템에서 사용자 파일 탈취와 같은 주요 기능을 수행합니다. 두 트로이 목마는 문자열 및 API 호출과 같은 주요 요소의 암호화를 포함한 지속적인 탐지 회피 기술을 사용합니다. 또한 BeingDebugged 필드 및 NtGlobalFlag와 같은 디버깅 징후를 감시하고 NtQueryInformationProcess를 사용하여 디버깅 상태를 감지하여 안티 멀웨어 분석 노력을 효과적으로 차단합니다.

Actor240524는 다단계 공격을 통해 synchronize.exe와 유사한 로더인 ABCloader를 포함하여 지속성을 유지하기 위해 자체 해독되는 로더를 활용합니다. 이 파일 vcruntime190.dll and vcruntime220.dll 은 정품 시스템 구성 요소를 하이재크하여 synchronize.exe하고, 로더가 시스템에 지속적으로 존재하도록 보장합니다.

Actor240524와 같은 정교한 해킹 그룹의 출현은 지속성을 유지하고 원격 제어를 가능하게 하기 위해 다양한 공격 도구를 시험함으로써 방어 능력을 강화할 필요성을 강조합니다. SOC Prime의 Attack Detective 를 통해 조직의 SIEM 태세를 강화하고, 비즈니스에 가장 큰 도전 과제가 되는 적의 공격을 사전에 방어하고, 높은 신뢰도의 경고를 위한 우선적 탐지 스택을 확보하며 위협 사냥 루틴을 자동화하십시오.