Ursa (APT28) 공격 탐지: 외교관을 대상으로 차량 판매를 피싱 미끼로 사용하여 HeadLace 악성코드를 배포하는 적수들

악명 높은 러시아 국가 지원 APT28 해킹 집단, 또한 Fighting Ursa로 알려진 이 집단은 주목을 받고 있습니다. 2024년 초봄부터, 적들이 D. 약을 통해 HeadLace 악성코드를 배포하는 피싱 미끼로 사용하여 외교관을 대상으로 장기적인 공격 캠페인을 벌이고 있습니다.

HeadLace 악성코드를 퍼뜨리는 Fighting Ursa aka APT28 공격 탐지

악명 높은 해킹 집단 Fighting Ursa 또는 APT28의 끊임없이 진화하는 적대적 인프라는 조직의 방어를 강화하여 그룹의 증가하는 사이버 공격에 대한 경쟁력을 가질 필요성을 강조합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 보안 팀이 Fighting Ursa의 공격을 사전에 저지할 수 있도록 탐지 알고리즘 모음을 큐레이션합니다. 여기에는 외교관에게 HeadLace 악성코드를 퍼뜨리는 최신 캠페인이 포함됩니다. 

탐지 탐색

Click the 탐지 탐색 아래 버튼을 클릭하여 그룹의 식별자를 기반으로 필터링된 큐레이션된 Sigma 규칙에 도달합니다. 제공된 탐지 알고리즘은 관련 위협 정보로 보강되어 있으며, MITRE ATT&CK® 프레임워크에 매핑되며, 30개 이상의 지원 플랫폼에서 선택한 SIEM, EDR 또는 Data Lake 언어 형식으로 즉시 변환할 준비가 되어 있습니다. 

APT28의 TTP를 회고적으로 분석할 품질 높은 탐지 콘텐츠를 찾는 보안 엔지니어들은 이 링크를 따를 수 있습니다. 관련 SOC 콘텐츠에 대해 조직들은 또 다른 그룹의 식별자를 기반으로 “Forest Blizzard” 태그를 사용하여 SOC Prime의 위협 탐지 마켓플레이스를 검색할 수 있습니다. 이 링크를 따릅니다.

Fighting Ursa 공격 분석

Palo Alto 연구원들은 최근 계속되는 악성 캠페인 을 발견했으며, 주로 외교관들을 대상으로 하고 있으며 Fighting Ursa(aka APT28, or Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm, 또는 Sofacy Group)로 추적되는 러시아 관련 해킹 집단에 의해 검열된다는 것을 발견했습니다. 2024년 3월 이후로 악명 높은 국가 지원 그룹은 피싱 미끼로 사용하여 HeadLace으로 불리는 모듈식 윈도우 백도어를 확산하기 위해 일종의 자동차 판매를 홍보해 왔습니다. 이는 탐지를 피하고 악성 코드 분석을 방해할 가능성이 있습니다. 

russia의 군사 정보 기관의 Unit 26165와 관련된 GRU 지원 그룹인 APT28은 20년 동안 사이버 위협 무대에서 관찰되었습니다. 러시아가 우크라이나를 전면 침공한 이후, 이 해킹 집단은 또한 피싱 공격 벡터를 활용하여우크라이나 국가 기관들과 그 나라의 동맹국들을 주로 대상으로 하는 일련의 공격 캠페인을 시작했습니다. 

특히, 러시아 해킹 그룹은 수년 동안 ‘외교차 판매’ 피싱 미끼 테마를 사용해 왔습니다. 이러한 미끼는 외교관을 끌어들여 악성 콘텐츠를 클릭하도록 유도합니다. 2023년에는 NOBELIUM 또는 CozyBear로 알려진 또 다른 러시아 지원 해킹 집단 APT29 는 우크라이나 주재 외교 사절단을 대상으로 BMW 판매 피싱 미끼를 활용하고 있습니다. Fighting Ursa는 성공적인 적대 전략을 자신들의 공격적 작전에 다시 사용하는 것으로 악명 높으며, 최신 캠페인에서도 이와 유사한 행동 패턴을 보여주고 있습니다.

웹훅 사이트 서비스에 의해 호스팅되는 가짜 URL에 의해 감염 체인이 시작됩니다. Fighting Ursa는 웹훅 사이트를 악용하여 악성 HTML 페이지를 제공하는 URL을 생성했습니다. 무기화된 HTML에는 공격을 자동화하도록 설계된 여러 요소가 포함되어 있습니다. 처음에는 방문하는 컴퓨터가 Windows에서 실행되는지 확인합니다. 시스템이 Windows 기반이 아닌 경우, 대상 사용자를 ImgBB에 호스팅된 Audi Q7 Quattro SUV라는 기만 이미지로 리디렉션합니다. ‘외교차 판매’ 제목의 허위 광고입니다. 최종 바이러스 물징이 Windows를 대상으로 하기 때문에, 이 OS 확인은 이후의 작업이Windows 사용자만을 위해 처리되도록 보장할 가능성이 높습니다. HTML은 그 후 HTML 내의 Base64 텍스트로부터 ZIP 아카이브를 생성하고, 다운로드 후 JavaScript를 통해 이를 열도록 시도합니다.

악성 아카이브에는 이미지 파일로 위장된 합법적인 Windows 계산기 실행 파일, DLL, 배치 스크립트가 포함되어 있습니다. 계산기 실행 파일은 악성 DLL을 사이드로드하여 HeadLace 백도어의 일부로 배치 스크립트를 실행합니다. 후자는 또 다른 웹훅 사이트 URL에서 파일을 가져오기 위해 Base64로 인코딩된 명령을 실행하고, 이를 이미지 파일로 다운로드 폴더에 저장한 후, 실행을 위해 파일 확장자를 .cmd로 변경하고, 사용 흔적을 없애기 위해 이를 삭제합니다. 

끊임없이 진화하는 인프라, 다양한 미끼 사용, 상대방 전술의 재사용 능력을 갖춘 Fighting Ursa는 사이버 위협 무대에서 지속적인 존재로 남아 있습니다. 그룹의 법적 웹 서비스를 공격적인 목적으로 활용하는 의존도는 수호자들에게 그러한 서비스에 대한 접근을 제한하고 사용을 면밀히 조사하여 공격 표면을 줄일 것을 권장합니다. 사용자가 SOC Prime의 Attack Detective 를 활용하여 위협 가시성을 극대화하고 탐지 커버리지 격차를 효과적으로 해결하며, 저소음이고 높은 가치의 경고를 쉽게 생성할 수 있는 우선 순위의 SIEM 사용 사례를 확보하고 사냥 능력을 원활하게 전달하여 공격자보다 빠르게 행동하십시오.