이전에 TAG-53으로 추적되었던 블루첼리, 2023년에도 새로운 인프라를 계속 배포합니다.
인싯트 그룹은 러시아 연계 그룹인 칼리스토/칼리스토, 콜드라이버, 스타 블리자드/시보르지움 등과 연관된 위협 활동 그룹 블루찰리(BlueCharlie)를 추적하고 있습니다. 2017년부터 활동한 러시아 연계 위협 그룹인 블루찰리는 스파이 활동과 해킹 및 유출 작전을 위한 정보 수집에 중점을 두고 있습니다. 블루찰리는 전술, 기술 및 절차(TTP)를 발전시키고 새로운 인프라를 구축하여 공개 정보에 적응하고 운영 보안을 개선하는 데 있어 정교함을 보여줬습니다. 구체적인 피해자는 알려지지 않았지만 과거에는 정부, 국방, 교육, 정치 분야, NGO, 언론인, 싱크탱크 등이 공격의 표적이 되었습니다.
2022년 11월 이후 블루챌리의 활동에서 사용된 용어 분석
최근 인식트 그룹은 블루찰리가 피싱 캠페인이나 인증정보 탈취에 사용될 가능성이 있는 94개의 새로운 도메인으로 구성된 새로운 인프라를 구축하는 것을 목격했습니다. 최근 운영에서 발견된 몇 가지 TTP는 과거의 활동에서 벗어난 것으로, 이는 블루찰리가 업계 보고를 통해 운영이 공개되면서 이에 대응하기 위해 운영을 발전시키고 있음을 시사합니다. 2022년 9월 인싯트 그룹을 처음 추적한 이후, 우리는 블루찰리가 여러 차례 TTP 전환을 하는 것을 관찰했습니다. 이러한 변화는 이러한 위협 행위자들이 업계 보고를 인지하고 있으며 보안 연구자들을 방해하기 위해 자신의 활동을 난독화하거나 수정하려는 노력에 어느 정도 정교함을 보이고 있음을 보여줍니다.
블루찰리의 위협에 대응하기 위해 네트워크 방어자는 피싱 방어를 강화하고, FIDO2 호환 멀티팩터 인증을 구현하고, 위협 인텔리전스를 사용하고, 써드파티 벤더를 교육해야 합니다. 블루찰리가 피싱을 지속적으로 사용하고 공개 보고에 적응해 온 역사를 보면 피싱은 앞으로도 계속 활발하게 운영될 것이며 더욱 발전할 것입니다.
각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
부록 A — 침해 지표
| 블루찰리 도메인: bittechllc[.]net centeritdefcity[.]com checkscreenit[.]com cloudcpanelhost[.]com clouddefsystems[.]com cloudrootstorage[.]com commandentrance[.]com 컴퓨터테크디렉트시스템[.]com computingtechstudio[.]com configuregatewayglobal[.]com controlgatestorage[.]com controlsstoragedirect[.]com controlstoragesolutions[.]com cryptdatagate[.]com 크립토 애널리틱스 기술[.]닷컴 크립토테크다이렉트[.]닷컴 cryptothistech[.]com datagatellc[.]com datagatewayglobal[.]com datastoragecrypto[.]com definform[.]com deskactivitygm[.]com 직접 문서 게이트[.]com directdocumentgateway[.]com directexpressgateway[.]com 직접 저장 게이트[.]com docsinfogate[.]com documentdirectllc[.]com documentdirectto[.]com entrywaycenter[.]com 게이트블러브저장소[.]com gatecryptospace[.]com 게이트인포시큐어[.]닷컴 게이트스토리지테크[.]com 게이트웨이독신트[.]com 게이트웨이잇솔[.]com 게이트웨이 레코드[.]닷컴 gawecryptoinfosolutions[.]com getinfostarter[.]com incappcloud[.]com infocryptogate[.]com infogatestorage[.]com informationcoindata[.]com informationswitchsystems[.]com infostorageroute[.]com intelligencerepository[.]com itgatestorage[.]com itinfogate[.]com keepitlabgroup[.]com 관리 코드 프로[.]com meshgoin[.]com myitappnext[.]com myittechnext[.]com networkgoin[.]com oneinformationcrypto[.]com pdfdirectglobal[.]com pdfsecxcloudroute[.]com po.vatangate[.]com 프로디펜드미[.]닷컴 prokeeperit[.]com protectedviews[.]com protectordocumentcenter[.]com realeasyconfiguregateway[.]com realitsolutionprimary[.]com safetydocsgateway[.]com secureglobaltele[.]com 서버가드잇웹[.]com shielditlabel[.]com shortinfoonline[.]com skycithereforeit[.]com solutionsseccloud[.]com sourcedoorway[.]com sourcedoorways[.]com stateinfospace[.]com 저장 크립토 게이트[.]닷컴 저장 크립토웹[.]com storageinfogate[.]com 스토리지 키퍼 인포프로[.]닷컴 storagekeeperinfotech[.]com storagerootconnect[.]com storagetruncservices[.]com 스토리지 서비스[.]com storagewarden[.]com suppdatacent[.]com threatcenterofreaserch[.]com transfer-dns[.]com truncstorage[.]com truncstorage[.]com webgateway[.]ru 웹게이트웨이 엔터[.]닷컴 웹인터스텔라[.]닷컴 yourdirectinfospace[.]com yourspaceprotector[.]com 블루찰리 IP 주소 104.140.180[.]125 104.140.180[.]126 104.168.32[.]133 104.168.46[.]21 107.174.45[.]104 107.174.45[.]106 107.175.21[.]29 138.124.183[.]150 138.124.183[.]150 142.11.194[.]133 142.11.195[.]232 142.11.196[.]83 142.11.199[.]18 146.19.170[.]161 146.19.170[.]162 162.19.175[.]92 172.245.191[.]18 172.245.220[.]195 172.245.220[.]206 172.245.254[.]219 172.245.33[.]142 172.245.33[.]188 185.138.164[.]123 185.138.164[.]229 185.250.151[.]11 185.250.151[.]11 192.210.214[.]114 192.210.214[.]150 192.210.215[.]125 192.227.162[.]32 192.236.146[.]12 192.236.195[.]192 192.236.195[.]192 192.3.111[.]149 192.3.111[.]200 192.3.118[.]108 192.3.223[.]33 192.3.228[.]170 192.3.228[.]182 192.3.73[.]140 192.3.73[.]143 194.213.18[.]35 194.213.18[.]96 198.46.174[.]172 198.46.174[.]188 23.254.253[.]127 23.94.152[.]50 23.94.231[.]161 23.94.236[.]80 23.94.96[.]12 23.94.99[.]19 23.94.99[.]22 23.94.99[.]26 23.94.99[.]30 45.137.155[.]33 45.144.30[.]160 45.144.31[.]92 45.66.249[.]101 45.66.249[.]101 45.66.249[.]83 45.8.146[.]119 45.8.146[.]213 45.8.146[.]227 45.86.230[.]104 45.86.230[.]171 45.86.230[.]61 5.61.63[.]19 77.91.126[.]29 77.91.126[.]29 85.239.52[.]228 85.239.52[.]44 85.239.53[.]154 85.239.53[.]19 85.239.53[.]54 85.239.53[.]73 85.239.54[.]200 85.239.54[.]205 85.239.54[.]242 85.239.54[.]244 85.239.54[.]54 85.239.54[.]84 85.239.54[.]84 85.239.60[.]103 85.239.60[.]105 85.239.60[.]105 85.239.60[.]71 85.239.61[.]52 91.210.164[.]40 91.228.10[.]45 91.231.186[.]105 91.231.186[.]33 94.131.8[.]189 95.164.18[.]80 |
관련