BlueBravo, Ambassador Lure를 사용하여 GraphicalNeutrino 악성 코드 배포
편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
Executive Summary
블루브라보는 레코디드 퓨처의 인식트 그룹이 추적하는 위협 그룹으로, APT29 및 노벨리움으로 추적되는 러시아의 지능형 지속 위협(APT) 활동과 겹치는 부분이 있습니다. APT29와 노벨리움 작전은 이전에 해외 첩보 활동, 능동적 조치, 전자 감시를 담당하는 러시아 대외정보국(SVR)의 소행으로 밝혀진 바 있습니다. 2022년 10월, 악성 ZIP 파일 내에 그래픽뉴트리노 멀웨어를 스테이징하는 블루브라보를 발견했습니다. 이 ZIP 파일의 스테이징 및 배포는 이전에 사용된 드로퍼인 EnvyScout과 겹치는데, 이 드로퍼는 APT29 및 NOBELIUM과 연결되어 사용됩니다.
블루브라보는 미끼 작전의 일환으로 ' "대사의 일정 2022년 11월" '이라는 텍스트가 포함된 손상된 웹사이트를 사용했습니다. 이 미끼의 테마로 보아 이 캠페인의 표적은 대사관 직원 또는 대사와 관련된 것으로 추정됩니다. 이 표적 프로필은 이스라엘 대사관과 관련된 콘텐츠를 표시하는 "Ambassador_Absense.docx"라는 제목의 유인 문서를 사용하여 노벨리움으로 보고된 이 그룹에 대해 설명한 2022년 초 InQuest의 이전 보고서와 일치합니다. 배포 및 실행 후, 인퀘스트는 멀웨어인 비트드롭이 trello[.]com을 사용했다고 보고했습니다. 를 명령 및 제어(C2)에 사용하여 탐지를 회피하고 활동 귀속을 어렵게 만들려고 시도합니다.
비트드롭이 데이터 교환을 위해 트렐로를 사용하는 것과 마찬가지로, 그래픽뉴트리노는 미국(미국)에 본사를 둔 비즈니스 자동화 서비스 Notion을 C2에 사용하고 있는 것으로 나타났습니다. 블루브라보는 탐지를 회피하기 위해 트렐로, 파이어베이스, 드롭박스 등 여러 온라인 서비스를 사용해 왔기 때문에 이번 노션 서비스 사용은 이전의 전술, 기술 및 절차(TTP)의 연장선상에 있는 것입니다. 블루브라보와 같은 합법적인 서비스의 악용은 합법적인 서비스에 대한 악의적인 액세스를 방어하기 어렵기 때문에 네트워크 방어자에게 복잡한 문제를 야기합니다. 이 기법의 사용은 점점 더 보편화되고 있으며 네트워크 방어자들에게 계속 문제가 될 것입니다.
GraphicalNeutrino는 기본 C2 기능을 갖춘 로더 역할을 하며 API 언훅킹, 동적 API 확인, 문자열 암호화, 샌드박스 회피 등 다양한 분석 방지 기술을 구현합니다. C2 통신을 위한 Notion의 API를 활용하고 Notion의 데이터베이스 기능을 사용하여 피해자 정보를 저장하고 다운로드를 위한 페이로드를 준비합니다.
이용 가능한 데이터를 기반으로 이 작전의 의도된 목표를 평가할 수는 없지만, 현재 진행 중인 우크라이나 전쟁과 같이 지정학적 긴장이 고조되는 시기에는 대사 또는 대사관을 테마로 한 미끼가 특히 효과적일 가능성이 높습니다. 이러한 기간 동안 러시아 APT 그룹은 외교적 주제의 미끼를 광범위하게 사용할 가능성이 높습니다. 이러한 통신을 수신하는 단체 또는 개인의 침해로 인해 수집될 수 있는 정보는 러시아의 외교 정책과 광범위한 러시아의 전략적 의사 결정 과정에 직접적인 영향을 미칠 가능성이 높기 때문입니다.
과거 APT29와 SVR의 사이버 작전과 적극적인 조치에 비추어 볼 때, 분쟁의 접점에 있는 국가들이 추가로 표적이 될 위험이 있다고 평가합니다. 이러한 표적 공격은 SVR과 연계된 위협 행위자들의 지속적인 관심을 나타내며, 외교 정책에 관여하는 기관 및 조직의 전략 정보에 대한 지속적인 접근 의도와도 일치하는 것이 거의 확실합니다. 우크라이나 사태와 연관성이 있는 모든 국가, 특히 러시아 또는 우크라이나와 지정학적, 경제적, 군사적으로 중요한 관계를 맺고 있는 국가는 표적이 될 위험이 높습니다.
주요 판단
- 서방 정부와 연구자들이 러시아 대외정보국(SVR)과 연관시킨 APT29 및 노벨리움으로 추적된 러시아 APT 활동과 겹치는 블루브라보의 새로운 멀웨어를 확인했습니다.
- 확인된 스테이징 인프라는 손상된 웹사이트를 사용하여 아카이브 파일 내에 블루브라보 멀웨어를 전달하는 추세를 이어가고 있습니다. 이러한 파일의 전송은 EnvyScout과 동일한 HTML 스머징 기법을 사용합니다.
- 또한 이 멀웨어는 실행을 위해 DLL 검색 순서 하이재킹을 활용하여 호스트에서 탐지를 회피합니다.
- 트렐로, 파이어베이스, 드롭박스에서 노션이 초기 C2로 변경된 것은 블루브라보가 멀웨어 트래픽을 혼합하여 탐지를 회피하기 위해 합법적인 서구 서비스를 광범위하게, 그러나 지속적으로 사용하고 있음을 보여줍니다.
- 2단계 멀웨어, 후속 C2 서버 또는 피해자는 확인되지 않았지만, 초기 유인 페이지에 따르면 블루브라보의 표적은 알려지지 않은 대사관 직원 또는 대사와 관련이 있는 것으로 보입니다.
- 대사관 관련 정보는 특히 우크라이나에서 러시아가 전쟁을 벌이고 있는 상황에서 고가치 정보로 간주될 가능성이 높습니다.
배경
블루브라보의 표적화, 전술, 기법 및 절차(TTP), 표적화 관심사 및 운영은 이전에 러시아 대외정보국(SVR)의 소행으로 보고된 러시아의 지능형 지속 위협 활동인 APT29 및 노벨리움(NOBELIUM)과 겹치는 부분이 있습니다. SVR은 해외 스파이 활동, 능동적 조치 및 전자 감시를 담당합니다. 타사 보고에 따르면 APT29는 최소 2008년부터 활동했으며, 보안 및 국방, 정치, 연구와 관련된 기관을 대상으로 스파이 활동을 벌였습니다. APT29는 처음에는 체첸과 반체제 조직을 감시하는 것으로 관측되었지만 2015년에는 미 국방부, 2016년에는 민주당 전국위원회 (DNC)와 미국 싱크탱크, 2017년에는 노르웨이 정부와 여러 네덜란드 부처 등 서방의 기관을 대상으로 활동 범위를 넓혀 나갔습니다.
2021년, 공개 보고를 통해 블루브라보가 정부 기관을 모방한 피싱 캠페인을 다양하게 반복적으로 사용했다는 사실이 자세히 밝혀졌습니다. 다양한 캠페인은 URL을 사용하여 ISO 파일을 다운로드하고 LNK 파일을 실행하거나 이메일에 HTML 첨부 파일을 사용하여 ISO 파일 다운로드를 시작하는 등의 방법을 통해 ISO 파일을 전달했습니다. 이 활동은 커스텀 코발트 스트라이크 로더의 포괄적인 용어인 네이티브존을 배포하는 데 사용되었습니다. 네이티브존은 일반적으로 rundll32.exe를 사용하여 후속 페이로드를 로드하고 실행합니다.
블루브라보는 다양한 맞춤형 멀웨어와 오픈 소스 툴을 사용합니다. 주목할 만한 점은 파이썬 , 고, 파워쉘 , 어셈블리 등 다양한 언어로 개발된 임플란트를 통해 진화하는 멀웨어 군과 개발 관행입니다.
관련