지능형 피싱 및 멀웨어로 미국 정치 단체를 표적으로 삼는 그린챌리 인프라
인싯트 그룹은 이란과 연계된 그룹인 그린찰리(GreenCharlie)의 사이버 위협 활동이 크게 증가했으며, 이는 민트 샌드스톰, 챠밍키튼, APT42와 겹친다는 사실을 확인했습니다. 미국 정치 및 정부 기관을 표적으로 삼는 그린찰리는 정교한 피싱 작업과 고블, 파워스타 같은 멀웨어를 활용합니다. 동적 DNS(DDNS) 공급업체에 등록된 도메인을 포함하는 그룹의 인프라는 그룹의 피싱 공격을 가능하게 합니다.
그린찰리의 지속적인 위협
인싯트 그룹은 2024년 6월부터 이란과 연계된 사이버 위협 그룹인 그린찰리와 연결된 인프라를 추적했으며, 이 그룹은 민트 샌드스톰, 챠밍키튼, APT42와도 연결되어 있습니다. 인식트 그룹의 분석에 따르면 그린찰리 인프라는 미국 정치 캠페인 관계자, 정부 기관 및 전략적 자산을 표적으로 삼는 데 사용된 멀웨어와 관련이 있는 것으로 보고되었습니다.
GreenCharlie는 악성코드와 연관되어 있으며, 그 중 후자는 Google-Mandiant에 의해 확인된 POWERSTAR(CharmPower 및 GorjolEcho라고도 함) 및 GORBLE과 관련이 있습니다. 고블과 파워스타는 모두 동일한 멀웨어 계열의 변종으로, 스피어피싱 캠페인을 통해 스파이 활동을 할 수 있도록 설계되었습니다.
이란과 이와 관련된 사이버 첩보 활동가들은 미국 선거와 국내 정보 공간을 겨냥한 영향력 행사 및 간섭 작전을 수행할 의도와 능력을 지속적으로 보여 왔습니다. 이러한 캠페인은 정치 후보자를 약화시키거나 지지하고 유권자의 행동에 영향을 미치며 불화를 조장하기 위한 해킹 및 유출 전술을 계속 활용할 가능성이 높습니다.
이 그룹의 인프라는 피싱 공격에 사용되는 도메인을 등록하기 위해 Dynu, DNSEXIT, Vitalwerks와 같은 동적 DNS(DDNS) 공급업체를 활용하여 세심하게 구축되었습니다. 이러한 도메인은 클라우드 서비스, 파일 공유 및 문서 시각화와 관련된 기만적인 테마를 사용하여 공격자가 민감한 정보를 공개하거나 악성 파일을 다운로드하도록 유인하는 경우가 많습니다.
레코디드 퓨처의 네트워크 인텔리전스는 그린찰리의 인프라와 통신하는 이란 기반 IP 주소 여러 개를 확인했습니다. ProtonVPN과 ProtonMail의 사용은 이란 APT의 일반적인 전술인 이 그룹의 활동을 난독화하려는 시도를 나타냅니다.
그린찰리의 피싱 작업은 고도로 표적화되어 있으며, 종종 시사 이슈와 정치적 긴장을 악용하는 사회 공학 기법을 사용합니다. 이 그룹은 2024년 5월 이후 수많은 도메인을 등록했으며, 이 중 상당수가 피싱 활동에 사용되었을 가능성이 높습니다. 이러한 도메인은 DDNS 제공업체에 연결되어 있어 IP 주소가 빠르게 변경되므로 그룹의 활동을 추적하기 어렵습니다.
그린찰리가 배포한 멀웨어는 고블과 파워스타를 포함해 다단계 감염 프로세스를 따릅니다. 피싱을 통해 처음 액세스한 후, 멀웨어는 명령 및 제어(C2) 서버와 통신을 설정하여 공격자가 데이터를 유출하거나 추가 페이로드를 전달할 수 있도록 합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
|
도메인: activeeditor[.]info personalwebview[.]info longlivefreedom.ddns[.]net hugmefirstddd.ddns[.]net icenotebook.ddns[.]net softservicetel.ddns[.]net configtools.linkpc[.]net webviewerpage[.]info www.selfpackage[.]info selfpackage[.]info itemselectionmode[.]info termsstatement.duckdns[.]org mobiletoolssdk.dns-dynamic[.]net researchdocument[.]info timelinepage.dns-dynamic[.]net searchstatistics.duckdns[.]org messagepending[.]info www.chatsynctransfer[.]info synctimezone.dns-dynamic[.]net chatsynctransfer[.]info timezone-update.duckdns[.]org onetimestorage[.]info towerreseller.dns-dynamic[.]net translatorupdater.dns-dynamic[.]net api.overall-continuing[.]site backend.cheap-case[.]site admin.cheap-case[.]site demo.cheap-case[.]site dev.cheap-case[.]site app.cheap-case[.]site api.cheap-case[.]site editioncloudfiles.dns-dynamic[.]net fileeditiontools.linkpc[.]net entryconfirmation.duckdns[.]org doceditor.duckdns[.]orgv projectdrivevirtualcloud.co[.]uk continueresource.forumz[.]info destinationzone.duia[.]eu onlinecloudzone[.]info storageprovider.duia[.]eu lineeditor.32-b[.]it lineeditor.001www[.]com lineeditor.mypi[.]co dynamicrender.line[.]pm nextcloudzone.dns-dynamic[.]net realpage.redirectme[.]net sharestoredocs.theworkpc[.]com thisismyapp.accesscam[.]org thisismydomain.chickenkiller[.]com pagerendercloud.linkpc[.]net splitviewer.linkpc[.]net pageviewer.linkpc[.]net preparingdestination.fixip[.]org joincloud.mypi[.]co joincloud.duckdns[.]org realcloud[.]info directfileinternal[.]info sourceusedirection.mypi[.]co viewdestination.vpndns[.]net overflow.duia[.]eu tracedestination.duia[.]eu continue.duia[.]eu linereview.duia[.]eu highlightsreview.line.pm nextcloud.duia[.]us smartview.dns-dynamic.net contentpreview.redirectme[.]net finaledition.redirectme[.]net dynamictranslator.ddnsgeek[.]com personalstoragebox.linkpc[.]net personalcloudparent[.]info cloudarchive[.]info cloudregionpages[.]info streaml23.duia[.]eu pkglessplans[.]xyz worldstate.duia[.]us callfeedback.duia[.]ro reviewedition.duia[.]eu filereader.dns-dynamic[.]net vector.kozow[.]com cloudtools.duia[.]eu uptimezonemetadta.run[.]place documentcloudeditor.ddnsgeek[.]com coldwarehexahash.dns-dynamic[.]net readquickarticle.dns-dynamic[.]net uptime-timezone.dns-dynamic[.]net IP 주소: 185.241.61[.]86 172.86.77[.]85 146.70.95[.]251 91.232.105[.]185 54.39.143[.]112 38.180.91[.]213 38.180.123[.]135 38.180.123[.]113 38.180.123[.]187 38.180.146[.]214 38.180.146[.]212 38.180.146[.]194 38.180.146[.]174 38.180.123[.]231 38.180.123[.]234 38.180.146[.]252 37.1.194[.]250 이란 기반 IP 주소: 193.111.236[.]130 185.143.233[.]120 94.74.175[.]209 94.74.145[.]184 93.119.48[.]60 37.148.63[.]24 37.255.251[.]17 5.106.153[.]245 5.106.169[.]235 5.106.185[.]98 5.106.202[.]101 5.106.219[.]243 멀웨어 해시: C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f |
부록 B — Mitre ATT&CK 기법
| 전술: 기법 | ATT&CK 코드 |
| 자원 개발: 인프라 확보 도메인 | T1583.001 |
| 리소스 개발: 계정 설정: 이메일 계정 | T1585.002 |
| 초기 액세스: 스피어피싱 첨부 파일 | T1566.001 |
| 초기 액세스: 스피어피싱 링크 | T1566.002 |
| 실행: 명령 및 스크립팅 인터프리터: PowerShell | T1059.001 |
| 실행: 명령 및 스크립트 인터프리터: Unix Shell | T1059.004 |
| 지속성: 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | T1547.001 |
| 지속성: 예약된 작업/업무: 예약된 작업 | T1053.005 |
| 검색: 시스템 정보 검색 | T1082 |
| 검색: 프로세스 검색 | T1057 |
| 명령 및 제어: 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 |
관련