가마레돈 공격 탐지: 러시아 연계 APT에 의한 우크라이나 대상 사이버 스파이 작전
목차:
러시아 국적의 악의적인 국가지원 세력 Gamaredon (일명 Hive0051, UAC-0010, 또는 Armageddon APT)는 2014년부터 우크라이나를 대상으로 사이버 첩보 캠페인을 벌여왔으며, 2022년 2월 24일의 러시아의 전면적인 우크라이나 침공 이후 사이버 공격이 격화되고 있습니다.
ESET는 최근에 깊이 있는 기술 분석 보고서를 발표하여Gamaredon의 2022년 및 2023년 우크라이나를 대상으로 한 사이버 첩보 작전에 대한 통찰을 제공했습니다. 2022년 이후 갈등이 격화되었음에도 불구하고, Gamaredon의 활동은 일정하게 유지되었으며, 그룹은 계속해서 그들의 악성 도구를 배포하고 우크라이나 사이버 위협 환경에서 가장 활발한 해킹 집단으로 남아있습니다.
Gamaredon APT 공격 탐지하기
악명 높은 러시아 연계 해킹 그룹들은 사이버 보안 수호자들에게 상당한 도전 과제를 지속적으로 제기하며, 탐지 회피를 개선하기 위해 그들의 전술, 기술, 절차(TTP)를 끊임없이 진화시키고 있습니다. 우크라이나에서의 전면전이 시작된 이후, 이러한 APT 그룹들은 그들의 활동을 강화하며, 갈등을 혁신적인 악성 전략의 시험대로 사용했습니다. 이러한 새롭게 정제된 방법들은 모스크바의 전략적 이익과 연관된 고우선순위 글로벌 타겟에 대해 사용되어, 전 세계적으로 사이버 위협을 증폭시킵니다. 이러한 끊임없는 활동은 보안 전문가들이 진화하는 적들보다 한 발 앞서기 위해 신뢰할 수 있는 탐지 콘텐츠와 고급 위협 탐지 및 사냥 도구를 찾게 만듭니다.
러시아 지원 Gamaredon APT 공격을 초기 단계에서 발견하려면 보안 전문가들이 SOC Prime 플랫폼 을 사용하여, 고급 위협 탐지, 자동화된 위협 사냥 및 AI 기반 탐지 엔지니어링을 위한 완전한 제품군과 함께 제공되는 전용 Sigma 규칙 세트를 통해 집단적 사이버 방어를 지원할 수 있습니다. 아래의 탐지 항목 탐색 버튼을 클릭하여 SOC Prime 플랫폼에서 사용할 수 있는 선별된 탐지 스택으로 즉시 자세히 살펴보세요.
규칙은 30개 이상의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑됩니다. 추가적으로, 탐지 항목은 광범위한 메타데이터, 포함된 위협 인텔 참조, 공격 일정, 조사 권장 사항 등으로 강화되어, 위협 조사를 원활하게 합니다.
Gamaredon의 TTP를 분석하기 위해 더 많은 탐지 콘텐츠를 찾는 사이버 수호자들은 Threat Detection Marketplace 에서 다음 태그를 사용하여 검색할 수 있습니다: “UAC-0010,” “Gamaredon,” “Hive0051,” “ACTINIUM,” “Primitive Bear,” “Armageddon Group,” “Aqua Blizzard,” “WINTERFLOUNDER,” “UNC530,” “Shuckworm.”
Gamaredon APT 공격 분석: 최신 ESET 연구에 기반하여
러시아 지원 사이버 첩보 그룹으로 추적되는 Gamaredon, 일명 Armageddon APT (Hive0051 또는 UAC-0010)는 글로벌 사이버 전쟁 발발 이후우크라이나를 대상으로 하이프로파일 공격을 적극적으로 진행해 왔습니다. 2022년에는 다양한 GammaLoad 버전을 포함하여 우크라이나에 대한 일련의 피싱 캠페인을 벌였으며, 그 중에는 GammaLoad.PS1이 포함되어 있습니다. 이 버전은 악성 VBScript와 함께 전달되었으며, 새로운 버전 GammaLoad.PS1_v2.
으로 식별되었습니다. 최신 ESET 연구 와 더 자세한 백서에서, 수호자들은 Gamaredon의 진화하는 난독화 기술과 도메인 기반 차단을 회피하는 방법을 탐구하며, 이는 추적 및 탐지 노력을 복잡하게 만들며, 우크라이나를 타겟으로 하는 해킹 집단의 가장 일반적인 상대 도구들을 포함합니다.
The 우크라이나 보안 서비스(SSU) 는 Gamaredon을 점령된 크림에 위치한 러시아 연방보안국과 연계시켰습니다. ESET에 따르면, 러시아 지원 APT 그룹은 또 다른 해킹 집단으로 추적되는 InvisiMole.
과 연계되어 있습니다. ESET 원격 측정 데이터, CERT-UA 및 다른 우크라이나 당국에 따르면 Gamaredon의 공격 대부분이 우크라이나 정부 기관을 타겟으로 하고 있습니다. 그러나 그룹은 우크라이나 이외의 곳으로도 초점을 이동시켰습니다. 예를 들어, 2022년 9월 말에 위협 행위자들이 NATO 회원국의 주요 석유 정제 회사에 침입을 시도함으로써사이버 전선에서 긴장을 고조시켰습니다.
Gamaredon은 새로운 희생자를 감염시키기 위해 스피어피싱 캠페인을 사용하며, 그들의 커스텀 멀웨어를 활용하여 초기 희생자와 공유될 가능성이 있는 Word 문서와 USB 드라이브를 무기화합니다. 대부분의 APT 그룹과 달리, Gamaredon은 그들의 사이버 첩보 작전에서 은밀함보다는 공격적입니다. 상대들은 무모하게 작동하지만, 보안 제품을 회피하고 손상된 시스템에 대한 접근을 유지하기 위해 상당한 노력을 기울입니다.
접근을 유지하기 위해, Gamaredon은 종종 여러 개의 간단한 다운로드 도구나 백도어를 동시에 배포합니다. 그들의 도구가 세련되지 않았음에도 불구하고, 빈번한 업데이트와 정기적인 난독화 변경이 그들을 레이더 아래에 두고 있습니다.
Gamaredon의 공격 도구 세트는 크게 진화했습니다. 2022년에는 SFX 아카이브 사용에서 VBScript와 PowerShell로의 의존으로 전환했습니다. 2023년까지, 그들은 새로운 PowerShell 도구를 개발하여 웹 애플리케이션, 이메일 클라이언트 및 Signal과 Telegram 같은 메시징 앱에서 민감한 데이터를 도난하도록 설계된 사이버 첩보 능력을 강화했습니다.
2023년 여름 말, ESET 연구자들은 우크라이나 군사 시스템 및 우크라이나 주 기관이 사용하는 웹메일 서비스를 목표로 한 정보 탈취 툴인 PteroBleed를 발견했습니다. Gamaredon의 도구는 다운로드 도구, 드로퍼, 무기화 도구, 정보 탈취 도구, 백도어 및 특수 유틸리티로 분류되어, 페이로드 전달, 파일 수정, 데이터 유출 및 원격 접근 유지에 사용됩니다.
Gamaredon은 주로 .ru TLD를 사용하여 도메인 기반 차단을 회피하기 위해 주로 새로운 C2 도메인 등록 및 업데이트를 자주 합니다. 그룹은 또한 C2 서버의 IP 주소를 자주 변경하고 IP 기반 차단을 우회하기 위해 주로 속성 변경 DNS를 채택합니다.
적들은 Telegram, Cloudflare 및 ngrok 같은 타사 서비스를 활용하여 네트워크 기반 탐지를 더욱 우회합니다. 그들의 도구가 상대적으로 단순함에도 불구하고, 그룹의 공격적 전술과 끈기 있는 태도는 잠재적 피해자에게는 상당한 위협이 되며, 수호자들은 이에 대해 초고속 반응성을 요구합니다. SOC Prime의 완전한 제품군 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위해 활용하여, 어떤 수준의 사이버 공격에서도 선제적으로 조직의 보안 태세를 강화합니다.
