적대 세력이 PDF 문서를 독일 대사관 유인물로 위장하여 NATO 연합국의 외교부를 목표로 한 공격에서 Duke 멀웨어 변종을 확산

사이버 보안 연구자들은 NATO 관련 국가들의 외무부를 목표로 한 새로운 악의적인 캠페인을 관찰했습니다. 적들은 미끼로 사용된 PDF 문서를 배포하며 송신자를 독일 대사관으로 가장합니다. PDF 파일 중 하나에는 APT29으로 추적되는 러시아 국가지원 해킹 집단인 Duke 멀웨어가 포함되어 있습니다. NOBELIUM, Cozy Bear, 또는 The Dukes.

DLL 사이드로딩을 통해 Duke 멀웨어 변종을 퍼뜨리기 위한 무기화된 PDF 공격 탐지

APT29는 모스크바의 지정학적 이익에 부합하는 러시아 외교정보국(SVR)의 은밀한 해킹 부문으로, 최신 악의적인 NATO 국가 대상 캠페인은 우크라이나 동맹국에 대한 공격 활동의 일부일 수 있습니다.. 

CERT-UA 및 SSSCIP와 협력하여 SOC Prime은 실제 전장에서 시그마 규칙을 연구, 개발, 테스트하여 매달 수백 개의 새로운 탐지 콘텐츠를 제공하여 러시아의 파괴적인 공격을 저지합니다. 사이버 수비수들이 최신 APT29 사이버 공격을 식별하는 데 도움을 주기 위해 SOC Prime 플랫폼은 악의적인 활동을 수행하기 위해 합법적으로 명명된 MSO 동적 라이브러리를 사이드로드하려는 시도를 탐지하는 전용 시그마 규칙을 제공합니다.

가능한 MSO 동적 라이브러리 사이드로딩 시도(이미지 로드를 통해)

이 규칙은 20개의 SIEM, EDR, XDR 및 데이터 레이크 기술 형식과 호환되며 MITRE ATT&CK®에 매핑되며, 방어 회피 전술 및 Hijack Execution Flow(T1574)라는 해당 기술을 다룹니다.

APT29 TTP를 다루는 전체 탐지 알고리즘 세트를 자세히 살펴보려면 아래 탐색 버튼을 클릭하세요. 효율적인 위협 조사를 위해, 팀은 ATT&CK 및 CTI 참조를 포함한 관련 메타데이터로 세부적으로 드릴다운할 수 있습니다.

아래 탐색 버튼을 클릭하세요.

HTML 스머글링 및 Duke 멀웨어 확산을 통한 무기화된 PDF 공격 분석

EclecticIQ 연구원들은 NATO 국가들의 외무부에 대한 지속적인 공격 작전을 관찰했으며, 이 과정에서 적들이 독일 대사관을 가장한 초청장 미끼와 함께 악성 PDF 파일을 이용합니다. 무기화된 PDF 파일 중 하나에는 악명높은 러시아 지원 국가 후원 그룹인 APT29 APT29와 연결된 Duke 멀웨어 변종이 포함되어 있습니다. 이 그룹은 사이버 첩보 공격 시리즈를 배후에서 조종하며, 러시아 외교정보국의 지원을 받아 정교한 적대자 도구세트를 활용하여 공격 작전을 실행합니다.

진행 중인 적의 캠페인에서, 위협 행위자들은 C2를 위해 Zulip 서버를 사용하여 합법적인 웹 트래픽과 혼합하고 탐지를 피합니다. 적대 행위의 패턴, 미끼 파일, 적용된 멀웨어 및 전달 방법을 기반으로 연구자들은 관찰된 악의적인 캠페인을 APT29 활동과 연결합니다.

감염 체인은 악성 PDF 미끼 파일을 실행하여 임베디드된 자바스크립트 코드가 손상된 장치에 HTML 파일 형식으로 페이로드를 떨어뜨리려고 한 것으로 촉발됩니다. HTML 스머글링을 사용하여 공격자는 악성 HTML 응용 프로그램 파일(HTA)이 포함된 아카이브를 전달하며, 이는 인기 있는 LOLBIN으로 간주됩니다. 후자는 영향을 받은 시스템에 Duke 멀웨어 샘플을 떨어뜨리기 위한 것입니다.

HTA 파일 실행은 손상된 시스템의 특정 디렉토리에 세 개의 실행 파일을 퍼뜨리는 결과를 초래합니다. 이 파일 중 하나는 DLL 사이드로딩을 통해 실행되는 Duke 멀웨어 변종입니다. 이 멀웨어는 윈도우 API 해싱을 회피 기술로 사용하며, 적들이 정적 멀웨어 스캐너를 우회할 수 있게 합니다.

잠재적 완화 조치로는 방어자들이 의심스러운 네트워크 트래픽을 차단하기 위해 적절한 네트워크 보호 메커니즘을 구성하고, 공격자에 의해 악용될 수 있는 특정 LOLBIN 실행을 방지하기 위해 윈도우 호스트에 화이트리스트 정책을 적용하는 것, 사이버 보안 인식을 높이는 것, 그리고 사이버 회복력을 높이기 위해 업계의 최고의 보안 관행을 지속적으로 구현하는 것이 추천됩니다.

증강 지능과 업계의 집단적 전문성을 활용하여 Uncoder AI 를 사용하면, 새롭게 나타나는 위협에 대한 탐지 알고리즘을 매끄럽게 생성하고, 이를 44개의 SIEM, EDR, XDR 및 데이터 레이크 형식으로 즉시 변환하며, 산업 동료들과 코드를 공유하여 위협 기반 방어를 적극적으로 지원할 수 있습니다.