NOBELIUM APT, 전 세계 정부 대상 대규모 스피어 피싱 캠페인 실행

Microsoft 전문가들은 러시아와 연계된 NOBELIUM APT에 의해 주요 정부 기관, 싱크탱크 및 국제 NGO를 대상으로 수행된 스피어 피싱 캠페인에서 중요한 변화가 있었음을 밝혀냈습니다. 연구자들에 따르면, 해커 집단은 24개국의 150개 이상의 조직을 공격하여 피해자에게 악성코드를 감염시키고 내부 네트워크에 은밀하게 접근하는 것을 목표로 했습니다. 특히, 같은 행위자가 역사적인 SolarWinds 공급망 공격 을 배후에 두고 있는 것으로 의심됩니다.

공격 킬 체인

Microsoft의 조사 에 따르면, 피싱 캠페인은 2021년 1월에 시작되었으며 폭넓은 실험과 테스트를 포함했습니다. 해커들은 가장 심각한 영향을 미치기 위해 다양한 전달 방법과 기술을 번갈아 사용했습니다.

초기 캠페인 단계에서 위협 행위자들은 Google Firebase 플랫폼을 악용하여 악성 ISO 파일을 떨어뜨리고 피싱 메시지와 상호작용한 사용자 프로필을 추적했습니다. 보안 전문가들은 이 기간 동안 악성 페이로드가 전달되지 않았기 때문에 초기 정찰 단계라고 믿고 있습니다. 이어서 NOBELIUM 해커들은 접근 방식을 통달하여 HTML 전자 메일 첨부 파일을 사용하여 HTML 문서 내에 악성 코드를 숨기기 시작했습니다. 그럼에도 불구하고 악성 이메일의 양은 상당히 적었으며, 이는 최종 시험 사이클로 간주할 수 있는 근거를 제공합니다.

2021년 5월, 보안 연구원들은 사악한 활동의 큰 증가를 감지했습니다. 이번에는 NOBELIUM 해커들이 Constant Contact 대량 이메일 플랫폼의 공식 USAID 계정을 성공적으로 제어하여 더 높은 신뢰수준을 부여하는 메시지를 배포했습니다. 이메일은 악성 링크를 포함하고 있었으며, 이를 클릭할 경우 피해자를 가짜 HTML 파일로 리디렉션하여 추가 악성 코드를 설치하여 사이버 스파이 활동을 목표로 했습니다. 특히, 보안 연구원들은 네 개의 샘플 (NativeZone, BoomBox, EnvyScout, VaporRage)이 캠페인 진행 중 배포된 것을 추적했습니다. 이러한 스트레인의 조합으로 NOBELIUM 행위자들은 감염된 환경 내에서 횡적으로 이동하고 2차 페이로드를 다운로드하며 피해자의 정보를 탈취할 수 있었습니다.

3,000개 이상의 계정이 150개 주요 정부 자산, 컨설팅 그룹 및 공공 기관에 연계되어 공격을 받았습니다. 대량의 피싱 이메일로 인해 탐지 시스템이 대부분을 차단할 수 있었습니다. 그럼에도 불구하고 잘못된 구성 또는 보호 장치 도입 이전에 일부 이전 메시지가 자동 탐지 루틴을 통과했을 가능성이 있습니다.

NOBELIUM APT 피싱 탐지

일부 침입은 자동으로 차단되었지만, 적들은 수십 개의 조직에 침투할 수 있었습니다. 회사 인프라를 보호하고 잠재적인 감염을 방지하기 위해, 우리 위협 현상금 개발자가 출시한 Sigma 규칙 세트를 다운로드할 수 있습니다.

APT29 피싱 캠페인

NOBELIUM 사이버 공격 다운로드 탐지 (sysmon 통해)

이 사악한 캠페인과 관련된 추가 탐지를 놓치지 않으려면 우리의 블로그를 주시하십시오. 모든 새로운 규칙은 이 블로그 게시물에 추가될 것입니다.

무료로 위협 탐지 마켓플레이스에 구독하여 회사의 환경과 위협 프로필에 맞춘 광범위한 SIEM 및 EDR 알고리즘 컬렉션을 이용하십시오. 우리의 SOC 콘텐츠 라이브러리는 100K 이상의 쿼리, 구문 분석기, SOC 준비 대시보드, YARA 및 Snort 규칙, 머신러닝 모델 및 CVE 및 MITRE ATT&CK® 프레임워크에 직접 매핑된 사건 대응 플레이북을 집계합니다. 위협 사냥 기술을 마스터하고 Sigma 규칙을 작성하고 싶습니까? SOC Prime의 위협 현상금 프로그램에 참여하십시오!

플랫폼으로 이동 위협 현상금 참여