블루델타(BlueDelta), 스파이 활동을 지원하기 위해 우크라이나 정부 Roundcube 메일 서버 악용
레코디드 퓨처의 인식트 그룹은 우크라이나의 컴퓨터 긴급 대응팀(CERT-UA)과 협력하여 우크라이나의 유명 기업을 대상으로 한 캠페인이 레코디드 퓨처의 네트워크 트래픽 인텔리전스에서 발견한 스피어피싱 캠페인과 상호 연관성이 있다는 사실을 밝혀냈습니다. 이 캠페인은 러시아와 우크라이나의 전쟁에 대한 뉴스를 활용하여 수신자가 첨부파일을 열지 않고도 취약한 라운드큐브 서버(오픈소스 웹메일 소프트웨어)를 즉시 감염시키는 CVE-2020-35730을 사용하여 이메일을 열도록 유도했습니다. 이 캠페인은 2022년에 Microsoft Outlook 제로데이 취약점 CVE-2023-23397을 악용한 과거 BlueDelta 활동과 겹치는 것으로 나타났습니다.
인식트 그룹이 파악한 블루델타 활동은 2021년 11월부터 운영된 것으로 보입니다. 이 캠페인은 여러 서방 정부가 러시아 연방군 총참모부(GRU)의 소행으로 보고 있는 APT28(포레스트 블리자드, 팬시 베어라고도 함)의 활동과 CERT-UA의 분석이 겹치는 부분이 있습니다. 이 작전에서 블루델타는 주로 항공기 인프라와 관련된 정부 기관 및 군 기관을 포함한 우크라이나 조직을 표적으로 삼았습니다.
블루델타 캠페인은 스피어피싱 기법을 사용하여 라운드큐브의 취약점(CVE-2020-35730, CVE-2020-12641, CVE-2021-44026)을 악용하는 첨부 파일이 포함된 이메일을 전송하여 정찰 및 유출 스크립트를 실행하고 수신 이메일을 리디렉션하고 세션 쿠키, 사용자 정보 및 주소록을 수집했습니다. 첨부 파일에는 블루델타가 제어하는 인프라에서 추가 자바스크립트 페이로드를 실행하는 자바스크립트 코드가 포함되어 있었습니다. 이 캠페인은 높은 수준의 준비성을 보여줬으며, 뉴스 콘텐츠를 미끼로 빠르게 무기화하여 수신자를 악용했습니다. 스피어피싱 이메일에는 우크라이나 관련 뉴스 테마가 포함되어 있으며, 제목과 콘텐츠는 합법적인 미디어 소스를 모방했습니다.
블루델타 아웃룩과 라운드큐브 스피어피싱 감염 체인이 겹칩니다.
블루델타는 우크라이나 및 유럽 전역의 정부 및 군사/방위 기관에 대한 정보 수집에 오랜 기간 관심을 보여 왔습니다. 가장 최근의 활동은 이러한 단체, 특히 우크라이나 내 단체에 지속적으로 초점을 맞추고 있음을 나타냅니다. 우리는 블루델타의 활동이 러시아의 우크라이나 침공을 지원하기 위한 군사 정보 수집을 위한 것으로 평가하며, 블루델타가 앞으로도 러시아의 광범위한 군사 활동을 지원하기 위해 우크라이나 정부 및 민간 부문 조직을 우선적으로 표적으로 삼을 가능성이 거의 확실하다고 생각합니다.
레코디드 퓨처와 CERT-UA의 협력은 전략적 위협(이 사례에서는 러시아의 우크라이나 전쟁)에 대한 집단 방어를 가능하게 하는 산업과 정부 간의 파트너십의 중요성을 더욱 강조합니다.
각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
부록 A — 침해 지표
도메인 aneria[.]net armpress[.]net ceriossl[.]info global-news-world[.]com global-world-news[.]net globalnewsnew[.]com 인포센터[.]ICU mai1[.]namenews[.]info newsnew[.]info runstatistics[.]net sourcescdn[.]net starvars[.]top 타겟 대상 IP 주소 46.183.219[.]207 (2022년 1월 - 2023년 6월) 77.243.181[.]238 (2022년 3월 - 2023년 6월) 144.76.69[.]94 (2022년 3월 - 2023년 6월) 46.183.219[.]232 (2022년 5월 - 2023년 3월) 45.138.87[.]250 (2021년 12월 - 2022년 3월) 144.76.7[.]190 (2022년 1월 - 2022년 3월) 77.243.181[.]10 (2022년 2월 - 2022년 3월) 5.199.162[.]132 (2022년 1월 - 2022년 3월) 185.210.217[.]218 (2022년 1월 - 2022년 2월) 144.76.184[.]94 (2021년 12월 - 2021년 12월) 162.55.241[.]4 (2021년 11월 - 2021년 12월) 185.195.236[.]230 (2021년 11월 - 2021년 12월) 발신자 이메일 주소 ukraine_news@meta[.]ua |
부록 B — Mitre ATT&CK 기법
전술: 기법 | ATT&CK 코드 |
초기 액세스: 스피어피싱 첨부 파일 | T1566.001 |
실행: 클라이언트 실행을 위한 익스플로잇 | T1203 |
실행: 명령 및 스크립팅 인터프리터: JavaScript | T1059.007 |
방어 회피: 난독화된 파일 또는 정보 | T1027 |
방어 회피: 파일 또는 정보 복호화/복호화 해제: 방어 회피 | T1140 |
자격증명 액세스: OS 자격증명 덤핑: /etc/passwd 및 /etc/shadow | T1003.008 |
검색: 시스템 정보 검색 | T1082 |
검색: 시스템 네트워크 구성 검색 | T1016 |
검색: 시스템 소유자/사용자 검색 | T1033 |
검색: 검색: 시스템 네트워크 연결 검색 | T1049 |
수집: 이메일 수집 이메일 전달 규칙 | T1114.003 |
명령 및 제어: 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 |
명령 및 제어: 데이터 인코딩: 표준 인코딩 | T1132.001 |
유출: 유출: 대체 프로토콜을 통한 유출 | T1048 |
유출: 자동화된 유출 | T1020 |
관련