다단계 스파이 캠페인으로 유럽의 주요 네트워크를 표적으로 삼은 GRU의 BlueDelta

인식트 그룹은 정보를 탈취하는 헤드레이스 멀웨어와 인증정보 탈취 웹 페이지로 유럽 전역의 네트워크를 공격하는 GRU의 블루델타 운영 인프라의 진화를 추적합니다. 블루델타는 2023년 4월부터 12월까지 세 단계에 걸쳐 피싱, 손상된 인터넷 서비스, 리빙 오프 더 랜드 바이너리를 사용하여 정보를 추출하는 헤드레이스 인프라를 배포했습니다. 우크라이나 국방부, 유럽 교통 인프라, 아제르바이잔 싱크탱크가 표적이 된 크리덴셜 수집 페이지는 지역 및 군사 역학 관계에 영향을 미치려는 러시아의 광범위한 전략을 반영합니다.

유럽 전역에 걸친 GRU의 블루델타 첩보 캠페인

지정학적 긴장이 지속되는 가운데 러시아의 전략 군사 정보 부서인 GRU는 정교한 사이버 첩보 작전을 계속 수행하고 있습니다. 인식트 그룹의 최신 연구 결과는 맞춤형 멀웨어와 인증 정보 수집을 사용하여 유럽 전역의 주요 네트워크를 체계적으로 표적으로 삼은 블루델타의 행동을 강조합니다.

블루델타는 2023년 4월부터 12월까지 지오펜싱 기술을 사용하여 세 단계에 걸쳐 우크라이나를 중심으로 유럽 전역의 네트워크를 표적으로 삼아 헤드레이스 멀웨어를 배포했습니다. 헤드레이스 멀웨어는 피싱 이메일을 사용하여 배포되며, 때로는 효과를 높이기 위해 합법적인 통신을 모방하기도 합니다. 블루델타는 합법적인 인터넷 서비스(LIS)와 리빙 오프 더 랜드 바이너리(LOLBins)를 악용하여 일반 네트워크 트래픽 내에서 작업을 위장합니다. 이러한 정교함은 탐지를 어렵게 만들어 네트워크를 침해할 때 블루델타의 성공률을 높입니다.

블루델타의 운영에서 주목할 만한 한 가지 측면은 인증정보 수집 페이지에 집중한다는 점입니다. 야후 및 UKR[.]net과 같은 서비스를 대상으로 2단계 인증과 캡차 챌린지를 중계할 수 있는 고급 기능을 사용합니다. 최근의 작전은 우크라이나 국방부, 우크라이나 무기 수출입 회사, 유럽 철도 인프라, 아제르바이잔에 위치한 싱크탱크를 표적으로 삼았습니다.

우크라이나 국방부 및 유럽 철도 시스템과 관련된 네트워크에 침투하는 데 성공하면 블루델타는 전장 전술과 광범위한 군사 전략을 수립하는 데 필요한 정보를 수집할 수 있습니다. 또한 아제르바이잔 경제사회개발센터에 대한 블루델타의 관심은 지역 정책을 이해하고 영향력을 행사할 수 있는 의제를 제시합니다.

정부, 군사, 국방 및 관련 부문의 조직은 블루델타의 활동이 증가함에 따라 정교한 피싱 시도를 우선적으로 탐지하고, 필수적이지 않은 인터넷 서비스에 대한 액세스를 제한하며, 중요한 네트워크 인프라에 대한 감시를 강화하는 등 사이버 보안 조치를 강화할 필요가 있습니다. 이러한 국가 차원의 공격자를 방어하기 위해서는 지능형 위협을 인식하고 대응하기 위한 지속적인 사이버 보안 교육이 필수적입니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.