BlueAlpha, GammaDrop 스테이징 인프라를 위해 Cloudflare 터널링 서비스 악용
요약
BlueAlpha는 러시아 연방보안국(FSB)의 지시에 따라 운영되는 국가 지원 사이버 위협 그룹으로, 공개적으로 보고된 Gamaredon, Shuckworm, Hive0051, UNC530 등의 그룹과 겹칩니다. BlueAlpha는 최소 2014년부터 활동해 왔으며, 맞춤형 멀웨어를 배포하기 위한 끊임없는 스피어피싱 캠페인을 통해 우크라이나 조직을 계속 표적으로 삼고 있습니다. BlueAlpha는 최소 2023년 10월부터 데이터 유출, 자격 증명 도용, 손상된 네트워크에 대한 지속적인 액세스를 가능하게 하는 맞춤형 VBScript 멀웨어, GammaLoad를 배포해왔습니다.
BlueAlpha, GammaDrop 스테이징 인프라를 위해 Cloudflare 터널링 서비스 악용
BlueAlpha는 최근 멀웨어 배포망을 발전시켜, 사이버 범죄 위협 그룹들이 멀웨어를 배포하기 위해 널리 사용하는 전술인 GammaDrop 멀웨어를 스테이징하는 데 Cloudflare 터널을 활용하고 있습니다.
주요 연구 결과:
- BlueAlpha는 Cloudflare Tunnels를 사용하여 GammaDrop 스테이징 인프라를 은폐하고 기존 네트워크 탐지 메커니즘을 회피합니다.
- 이 그룹은 이메일 보안 시스템을 우회하기 위해 정교한 기술을 활용하여 HTML 스머글링을 통해 멀웨어를 전달합니다.
- DNS 패스트 플럭스로 인해 명령 및 제어(C2) 통신을 추적하고 방해하려는 노력이 복잡해졌습니다.
BlueAlpha가 Cloudflare Tunnels를 악용하는 방법
Cloudflare는 TryCloudflare 도구를 통해 터널링 서비스를 무료로 제공합니다. 이 도구는 누구나 trycloudflare.com의 무작위로 생성된 하위 도메인을 사용하여 터널을 만들고, 해당 하위 도메인에 대한 모든 요청을 Cloudflare 네트워크를 통해 해당 호스트에서 실행 중인 웹 서버로 프록시할 수 있도록 합니다. BlueAlpha는 이를 활용하여 GammaDrop 배포에 사용되는 스테이징 인프라를 은폐합니다.
HTML 스머글링
HTML 스머글링은 HTML 첨부 파일에 포함된 JavaScript를 통해 멀웨어를 전달할 수 있게 합니다. BlueAlpha는 탐지를 피하기 위해 이 방법을 미세하게 수정하여 개선했습니다. 최근 샘플은 onerror HTML 이벤트를 사용하여 악성 코드를 실행하는 등의 난독화 해제 방법의 변화를 보여주고 있습니다.
GammaDrop 및 GammaLoad 멀웨어
BlueAlpha 캠페인의 핵심인 멀웨어 제품군:
- GammaDrop: 드로퍼로 작동하여 GammaLoad를 디스크에 기록하고 지속성을 보장합니다.
- GammaLoad: C2에 신호를 보내고 추가 멀웨어를 실행할 수 있는 사용자 지정 로더입니다
BlueAlpha는 난독화 기법으로 방대한 양의 정크 코드와 임의 변수 이름을 사용하여 분석을 복잡하게 만듭니다.
완화 전략
- 이메일 보안 강화: HTML 스머글링 기법을 검사하고 차단하는 솔루션을 배포하세요. onerror와 같은 의심스러운 HTML 이벤트가 있는 첨부 파일에 플래그를 지정합니다.
- 악성 파일 실행 제한: 애플리케이션 제어 정책을 구현하여 mshta.exe 및 신뢰할 수 없는 .lnk 파일의 악의적인 사용을 차단하세요.
- 네트워크 트래픽 모니터링: trycloudflare.com 하위 도메인에 대한 요청과 승인되지 않은 DoH(DNS-over-HTTPS) 연결을 플래그 지정할 규칙을 설정하세요.
- 위협 인텔리전스를 활용: Recorded Future의 멀웨어 완화 솔루션을 사용하여 의심스러운 파일을 분석하고 새로운 위협에 대한 최신 정보를 확인하세요.
전망
BlueAlpha가 Cloudflare와 같은 합법적인 서비스를 지속적으로 사용하는 것은 회피 기술을 개선하려는 노력을 보여주는 것입니다. 조직은 이러한 정교한 위협에 대응하기 위해 경계를 늦추지 말고 고급 탐지 및 대응 기능에 투자해야 합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
|
도메인: else-accommodation-allowing-throws.trycloudflare[.]com cod-identification-imported-carl.trycloudflare[.]com amsterdam-sheet-veteran-aka.trycloudflare[.]com benjamin-unnecessary-mothers-configured.trycloudflare[.]com longitude-powerpoint-geek-upgrade.trycloudflare[.]com attribute-homework-generator-lovers.trycloudflare[.]com infected-gc-rhythm-yu.trycloudflare[.]com IP 주소: 178.130.42[.]94 해시: 3afc8955057eb0bae819ead1e7f534f6e5784bbd5b6aa3a08af72e187b157c5b 93aa6cd0787193b4ba5ba6367122dee846c5d18ad77919b261c15ff583b0ca17 b95eea2bee2113b7b5c7af2acf6c6cbde05829fab79ba86694603d4c1f33fdda |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 초기 액세스: 스피어피싱 첨부 파일 | T1566.001 |
| 실행: Visual Basic | T1059.005 |
| 실행: JavaScript | T1059.007 |
| 실행: 악성 파일 | T1204.002 |
| 지속성: 레지스트리 실행 키/시작 폴더 | T1547.001 |
| 방어 회피: HTML 스머글링 | T1027.006 |
| 방어 회피: 암호화/인코딩된 파일 | T1027.013 |
| 명령 및 제어: 웹 프로토콜 | T1071.001 |
| 명령 및 제어: 패스트 플럭스 DNS | T1568.001 |
관련