BlueAlpha 공격 탐지: 러시아 관련 해킹 단체가 Cloudflare 터널을 악용하여 GammaDrop 멀웨어 배포
목차:
러시아 정부 지원 위협 행위자 블루알파(일명 Gamaredon, Hive0051, Shuckworm, UAC-0010 또는 Armageddon)은 2014년부터 우크라이나를 대상으로 사이버 스파이 활동을 벌이고 있습니다. 2022년 2월 24일 러시아의 우크라이나 침공 이후, 이러한 작전은 더욱 강화되어 우크라이나에서 시험한 발전된 TTP를 보다 넓은 대상에 배포하고 있습니다.
최근 보안 연구원들은 러시아 연방 보안국(FSB)을 대리하여 활동하는 해킹 그룹이 Cloudflare 서비스를 악용하여 GammaDrop 악성코드 배포를 강화하기 시작했다고 밝혔습니다.
블루알파의 GammaDrop 악성코드 공격 탐지
악명 높은 러시아 관련 해킹 그룹은 사이버 보안 수비수들에게 주요 도전 과제로 남아 있으며, 지속적으로 전술, 기법 및 절차(TTP)를 적응시켜 전 세계 다양한 조직을 대상으로 하고 있습니다. 우크라이나 전면전 발발 이후, 이러한 APT 행위자들은 작전을 강화하여 갈등을 최첨단 악성 전략의 시험대로 활용하고 있습니다. 러시아 관련 해커들이 제기하는 위협을 극복할 수 있도록 사이버 수비수를 돕기 위해, SOC Prime Platform 은 집단 방어를 위한 광범위한 관련 Sigma 규칙 모음과 고급 위협 탐지 및 사냥을 위한 완전한 제품군을 제공합니다.
Cloudflare 터널링을 활용한 GammaDrop 악성코드 배포 블루알파의 최신 공격을 탐지 탐색 버튼을 눌러 신속하게 구성된 탐지 스택에 접근하세요.
블루알파 그룹의 활동을 분석하고 공격에 사용된 TTP에 대한 추가 맥락을 얻기 위해, 사이버 방어자들은 “Gamaredon”, “Shuckworm”, “Hive0051”, “UNC530”, “BlueAlpha”, “UAC-0010” 태그를 검색하여 전용 규칙 모음에 접근할 수 있습니다. Threat Detection Marketplace with “Gamaredon,” “Shuckworm,” “Hive0051,” “UNC530,” “BlueAlpha,”and “UAC-0010” tags.
또한, 조사를 진행하기 위해 보안 전문가들은 해당 Insikt Group 연구에 제공된 IOC를 사용하여 즉시 사냥을 시작할 수 있습니다. SOC Prime의 Uncoder AI 를 사용하여 맞춤형 IOC 기반 쿼리를 몇 초 만에 생성하고 선택한 SIEM 또는 EDR 환경에서 자동으로 작업하세요. 
Gamadrop 악성코드를 활용한 블루알파 공격 분석
블루알파—Gamaredon, Armageddon APT, Hive0051 또는 UAC-0010으로도 알려진 이 그룹은 높은 임팩트의 공격으로 우크라이나를 지속적으로 표적 삼고 있습니다. 지난 3년 동안 블루알파는 GammaLoad 악성코드의 다양한 버전을 활용하여 우크라이나에 대한 여러 피싱 캠페인을 조직했습니다. 여기에는 GammaLoad.PS1이 포함되며, 이는 악성 VBScript를 통해 전달되었고, GammaLoad.PS1_v2.
라는 향상된 변종이 식별되었습니다. 이제, Insikt Group 의 보안 연구원들은 해커들이 악성코드 전송 체인을 변형시켜 Cloudflare 터널링 서비스를 이용한 GammaDrop 악성코드 확산을 발견했습니다. Cloudflare 터널링은 안전한 터널링 소프트웨어로 설계되었지만, 해커들은 이를 악용하여 GammaDrop 스테이징 인프라를 은폐하며 널리 사용되는 네트워크 탐지 메커니즘을 효과적으로 회피하고 있습니다.
추가적으로, 블루알파는 숨겨진 인프라를 활용하여 정교한 HTML 스머글링 공격을 실행, 악성 페이로드가 이메일 보안 필터를 우회해 슬립될 수 있게 합니다. 또한, 그룹은 동적 IP 주소를 사용하여 자신들의 도메인과 연결된 DNS 빠른 플럭싱 기법을 사용하여 블루알파의 커맨드 앤 컨트롤(C2) 작전에 대한 교란 노력을 상당히 복잡하게 만듭니다. 궁극적으로, 이러한 다층적 접근 방식은 위협 행위자들이 민감한 데이터를 탈취하고 자격 증명을 훔치며 침해된 네트워크에 대한 지속적인 백도어 접근 권한을 확보할 수 있게 합니다.
APT 집단들이 공격을 계속 진행하며 탐지되지 않도록 악성 방법을 계속 발전시킴에 따라, 보안 연구자들은 최신 위험을 극복할 수 있는 고급 도구를 요구합니다. SOC Prime은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군 을 제공하여 보안 팀들이 어떤 규모와 복잡성의 사이버 공격도 능동적으로 막을 수 있도록 돕습니다.