블루델타(BlueDelta), 스파이 활동을 지원하기 위해 우크라이나 정부 Roundcube 메일 서버 악용
Recorded Future's Insikt Group, in partnership with Ukraine's Computer Emergency Response Team (CERT-UA), has uncovered a campaign targeting high-profile entities in Ukraine that was cross-correlated with a spearphishing campaign uncovered by Recorded Future’s Network Traffic Intelligence. The campaign leveraged news about Russia’s war against Ukraine to encourage recipients to open emails, which immediately compromised vulnerable Roundcube servers (an open-source webmail software), using CVE-2020-35730, without engaging with the attachment. We found that the campaign overlaps with historic BlueDelta activity exploiting the Microsoft Outlook zero-day vulnerability CVE-2023-23397 in 2022.
인식트 그룹이 파악한 블루델타 활동은 2021년 11월부터 운영된 것으로 보입니다. 이 캠페인은 여러 서방 정부가 러시아 연방군 총참모부(GRU)의 소행으로 보고 있는 APT28(포레스트 블리자드, 팬시 베어라고도 함)의 활동과 CERT-UA의 분석이 겹치는 부분이 있습니다. 이 작전에서 블루델타는 주로 항공기 인프라와 관련된 정부 기관 및 군 기관을 포함한 우크라이나 조직을 표적으로 삼았습니다.
The BlueDelta campaign used spearphishing techniques, sending emails with attachments exploiting vulnerabilities (CVE-2020-35730, CVE-2020-12641, and CVE-2021-44026) in Roundcube to run reconnaissance and exfiltration scripts, redirecting incoming emails and gathering session cookies, user information, and address books. The attachment contained JavaScript code that executed additional JavaScript payloads from BlueDelta-controlled infrastructure. The campaign displayed a high level of preparedness, quickly weaponizing news content into lures to exploit recipients. The spearphishing emails contained news themes related to Ukraine, with subject lines and content mirroring legitimate media sources.
블루델타 아웃룩과 라운드큐브 스피어피싱 감염 체인이 겹칩니다.
블루델타는 우크라이나 및 유럽 전역의 정부 및 군사/방위 기관에 대한 정보 수집에 오랜 기간 관심을 보여 왔습니다. 가장 최근의 활동은 이러한 단체, 특히 우크라이나 내 단체에 지속적으로 초점을 맞추고 있음을 나타냅니다. 우리는 블루델타의 활동이 러시아의 우크라이나 침공을 지원하기 위한 군사 정보 수집을 위한 것으로 평가하며, 블루델타가 앞으로도 러시아의 광범위한 군사 활동을 지원하기 위해 우크라이나 정부 및 민간 부문 조직을 우선적으로 표적으로 삼을 가능성이 거의 확실하다고 생각합니다.
레코디드 퓨처와 CERT-UA의 협력은 전략적 위협(이 사례에서는 러시아의 우크라이나 전쟁)에 대한 집단 방어를 가능하게 하는 산업과 정부 간의 파트너십의 중요성을 더욱 강조합니다.
각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
부록 A — 침해 지표
|
도메인 aneria[.]net armpress[.]net ceriossl[.]info global-news-world[.]com global-world-news[.]net globalnewsnew[.]com infocentre[.]icu mai1[.]namenews[.]info newsnew[.]info runstatistics[.]net sourcescdn[.]net starvars[.]top Target-facing IP Addresses 46.183.219[.]207 (January 2022 - June 2023) 77.243.181[.]238 (March 2022 - June 2023) 144.76.69[.]94 (March 2022 - June 2023) 46.183.219[.]232 (May 2022 - March 2023) 45.138.87[.]250 (December 2021 - March 2022) 144.76.7[.]190 (January 2022 - March 2022) 77.243.181[.]10 (February 2022 - March 2022) 5.199.162[.]132 (January 2022 - March 2022) 185.210.217[.]218 (January 2022 - February 2022) 144.76.184[.]94 (December 2021 - December 2021) 162.55.241[.]4 (November 2021 - December 2021) 185.195.236[.]230 (November 2021 - December 2021) Sender Email Address ukraine_news@meta[.]ua |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| Initial Access: Spearphishing Attachment | T1566.001 |
| Execution: Exploitation for Client Execution | T1203 |
| Execution: Command and Scripting Interpreter: JavaScript | T1059.007 |
| Defense Evasion: 난독화된 파일 또는 정보 | T1027 |
| Defense Evasion: Deobfuscate/Decode Files or Information | T1140 |
| Credential Access: OS Credential Dumping: /etc/passwd and /etc/shadow | T1003.008 |
| Discovery: 시스템 정보 검색 | T1082 |
| Discovery: System Network Configuration Discovery | T1016 |
| Discovery: System Owner/User Discovery | T1033 |
| Discovery: System Network Connections Discovery | T1049 |
| Collection: Email Collection: Email Forwarding Rule | T1114.003 |
| Command and Control: Application Layer Protocol: Web Protocols | T1071.001 |
| Command and Control: Data Encoding: Standard Encoding | T1132.001 |
| Exfiltration: Exfiltration Over Alternative Protocol | T1048 |
| Exfiltration: Automated Exfiltration | T1020 |
관련 뉴스 & 연구