지능형 피싱 및 멀웨어로 미국 정치 단체를 표적으로 삼는 그린챌리 인프라

게시일: 2024년 8월 20일

작성자: Insikt Group®

GreenCharlie Infrastructure Targeting US Political Entities with Advanced Phishing and Malware

Insikt Group has identified a significant increase in cyber threat activity from GreenCharlie, an Iran-nexus group that overlaps with Mint Sandstorm, Charming Kitten, and APT42. Targeting US political and government entities, GreenCharlie utilizes sophisticated phishing operations and malware like GORBLE and POWERSTAR. The group's infrastructure, which includes domains registered with dynamic DNS (DDNS) providers, enables the group’s phishing attacks.

그린찰리의 지속적인 위협

인싯트 그룹은 2024년 6월부터 이란과 연계된 사이버 위협 그룹인 그린찰리와 연결된 인프라를 추적했으며, 이 그룹은 민트 샌드스톰, 챠밍키튼, APT42와도 연결되어 있습니다. 인식트 그룹의 분석에 따르면 그린찰리 인프라는 미국 정치 캠페인 관계자, 정부 기관 및 전략적 자산을 표적으로 삼는 데 사용된 멀웨어와 관련이 있는 것으로 보고되었습니다.

GreenCharlie는 악성코드와 연관되어 있으며, 그 중 후자는 Google-Mandiant에 의해 확인된 POWERSTAR(CharmPower 및 GorjolEcho라고도 함) 및 GORBLE과 관련이 있습니다. 고블과 파워스타는 모두 동일한 멀웨어 계열의 변종으로, 스피어피싱 캠페인을 통해 스파이 활동을 할 수 있도록 설계되었습니다.

이란과 이와 관련된 사이버 첩보 활동가들은 미국 선거와 국내 정보 공간을 겨냥한 영향력 행사 및 간섭 작전을 수행할 의도와 능력을 지속적으로 보여 왔습니다. 이러한 캠페인은 정치 후보자를 약화시키거나 지지하고 유권자의 행동에 영향을 미치며 불화를 조장하기 위한 해킹 및 유출 전술을 계속 활용할 가능성이 높습니다.

이 그룹의 인프라는 피싱 공격에 사용되는 도메인을 등록하기 위해 Dynu, DNSEXIT, Vitalwerks와 같은 동적 DNS(DDNS) 공급업체를 활용하여 세심하게 구축되었습니다. 이러한 도메인은 클라우드 서비스, 파일 공유 및 문서 시각화와 관련된 기만적인 테마를 사용하여 공격자가 민감한 정보를 공개하거나 악성 파일을 다운로드하도록 유인하는 경우가 많습니다.

레코디드 퓨처의 네트워크 인텔리전스는 그린찰리의 인프라와 통신하는 이란 기반 IP 주소 여러 개를 확인했습니다. ProtonVPN과 ProtonMail의 사용은 이란 APT의 일반적인 전술인 이 그룹의 활동을 난독화하려는 시도를 나타냅니다.

그린찰리의 피싱 작업은 고도로 표적화되어 있으며, 종종 시사 이슈와 정치적 긴장을 악용하는 사회 공학 기법을 사용합니다. 이 그룹은 2024년 5월 이후 수많은 도메인을 등록했으며, 이 중 상당수가 피싱 활동에 사용되었을 가능성이 높습니다. 이러한 도메인은 DDNS 제공업체에 연결되어 있어 IP 주소가 빠르게 변경되므로 그룹의 활동을 추적하기 어렵습니다.

그린찰리가 배포한 멀웨어는 고블과 파워스타를 포함해 다단계 감염 프로세스를 따릅니다. 피싱을 통해 처음 액세스한 후, 멀웨어는 명령 및 제어(C2) 서버와 통신을 설정하여 공격자가 데이터를 유출하거나 추가 페이로드를 전달할 수 있도록 합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

도메인:
 activeeditor[.]info
 personalwebview[.]info
 longlivefreedom.ddns[.]net
 hugmefirstddd.ddns[.]net
 icenotebook.ddns[.]net
 softservicetel.ddns[.]net
 configtools.linkpc[.]net
 webviewerpage[.]info
 www.selfpackage[.]info
 selfpackage[.]info
 itemselectionmode[.]info
 termsstatement.duckdns[.]org
 mobiletoolssdk.dns-dynamic[.]net
 researchdocument[.]info
 timelinepage.dns-dynamic[.]net
 searchstatistics.duckdns[.]org
 messagepending[.]info
 www.chatsynctransfer[.]info
 synctimezone.dns-dynamic[.]net
 chatsynctransfer[.]info
 timezone-update.duckdns[.]org
 onetimestorage[.]info
 towerreseller.dns-dynamic[.]net
 translatorupdater.dns-dynamic[.]net
 api.overall-continuing[.]site
 backend.cheap-case[.]site
 admin.cheap-case[.]site
 demo.cheap-case[.]site
 dev.cheap-case[.]site
 app.cheap-case[.]site
 api.cheap-case[.]site
 editioncloudfiles.dns-dynamic[.]net
 fileeditiontools.linkpc[.]net
 entryconfirmation.duckdns[.]org
 doceditor.duckdns[.]orgv
 projectdrivevirtualcloud.co[.]uk
 continueresource.forumz[.]info
 destinationzone.duia[.]eu
 onlinecloudzone[.]info
 storageprovider.duia[.]eu
 lineeditor.32-b[.]it
 lineeditor.001www[.]com
 lineeditor.mypi[.]co
 dynamicrender.line[.]pm
 nextcloudzone.dns-dynamic[.]net
 realpage.redirectme[.]net
 sharestoredocs.theworkpc[.]com
 thisismyapp.accesscam[.]org
 thisismydomain.chickenkiller[.]com
 pagerendercloud.linkpc[.]net
 splitviewer.linkpc[.]net
 pageviewer.linkpc[.]net
 preparingdestination.fixip[.]org
 joincloud.mypi[.]co
 joincloud.duckdns[.]org
 realcloud[.]info
 directfileinternal[.]info
 sourceusedirection.mypi[.]co
 viewdestination.vpndns[.]net
 overflow.duia[.]eu
 tracedestination.duia[.]eu
 continue.duia[.]eu
 linereview.duia[.]eu
 highlightsreview.line.pm
 nextcloud.duia[.]us
 smartview.dns-dynamic.net
 contentpreview.redirectme[.]net
 finaledition.redirectme[.]net
 dynamictranslator.ddnsgeek[.]com
 personalstoragebox.linkpc[.]net
 personalcloudparent[.]info
 cloudarchive[.]info
 cloudregionpages[.]info
 streaml23.duia[.]eu
 pkglessplans[.]xyz
 worldstate.duia[.]us
 callfeedback.duia[.]ro
 reviewedition.duia[.]eu
 filereader.dns-dynamic[.]net
 vector.kozow[.]com
 cloudtools.duia[.]eu
 uptimezonemetadta.run[.]place
 documentcloudeditor.ddnsgeek[.]com
 coldwarehexahash.dns-dynamic[.]net
 readquickarticle.dns-dynamic[.]net
 uptime-timezone.dns-dynamic[.]net
 
 IP Addresses:
 185.241.61[.]86
 172.86.77[.]85
 146.70.95[.]251
 91.232.105[.]185
 54.39.143[.]112
 38.180.91[.]213
 38.180.123[.]135
 38.180.123[.]113
 38.180.123[.]187
 38.180.146[.]214
 38.180.146[.]212
 38.180.146[.]194
 38.180.146[.]174
 38.180.123[.]231
 38.180.123[.]234
 38.180.146[.]252
 37.1.194[.]250
 
 Iran-based IP Addresses:
 193.111.236[.]130
 185.143.233[.]120
 94.74.175[.]209 
 94.74.145[.]184 
 93.119.48[.]60
 37.148.63[.]24
 37.255.251[.]17 
 5.106.153[.]245
 5.106.169[.]235 
 5.106.185[.]98 
 5.106.202[.]101 
 5.106.219[.]243
 
 Malware Hash:
 C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3
 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156
 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f

부록 B — Mitre ATT&CK 기법

전술: 기법	ATT&CK 코드
Resource Development: Acquire Infrastructure: Domains	T1583.001
Resource Development: Establish Accounts: Email Accounts	T1585.002
Initial Access: Spearphishing Attachment	T1566.001
Initial Access: Spearphishing Link	T1566.002
Execution: Command and Scripting Interpreter: PowerShell	T1059.001
Execution: Command and Scripting Interpreter: Unix Shell	T1059.004
Persistence: Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder	T1547.001
Persistence: Scheduled Task/Job: Scheduled Task	T1053.005
Discovery: 시스템 정보 검색	T1082
Discovery: 프로세스 검색	T1057
Command and Control: Application Layer Protocol: Web Protocols	T1071.001