카자흐스탄의 조직은 위협 활동 클러스터의 표적이 되었습니다. 블러디 울프 STRRAT(일명 Strigoi Master)라는 상용 맬웨어를 배포합니다.
사이버 보안 업체 BI.ZONE은 새로운 분석에서 “지하 자원에 대해 80달러에 판매되는 이 프로그램을 통해 적대 세력은 기업 컴퓨터를 제어하고 제한된 데이터를 하이재킹할 수 있다”고 밝혔습니다.
사이버 공격은 피싱 이메일을 초기 접근 벡터로 사용하여, 카자흐스탄 공화국 재무부와 다른 기관을 사칭하여 수신자가 PDF 첨부 파일을 열도록 속입니다.
해당 파일은 비준수 통지인 것처럼 보이지만 악성 Java 아카이브(JAR) 파일에 대한 링크와 맬웨어가 작동하는 데 필요한 Java 인터프리터의 설치 안내서가 포함되어 있습니다.
공격에 합법성을 부여하기 위해 두 번째 링크는 포털의 작동을 보장하려면 방문자에게 Java를 설치하도록 촉구하는 해당 국가 정부 웹사이트와 관련된 웹 페이지를 가리킵니다.
카자흐스탄 정부 웹사이트를 모방한 웹사이트(“egov-kz(.)online”)에 호스팅된 STRRAT 맬웨어는 레지스트리를 수정하여 Windows 호스트에 지속성을 설정하고 30분마다 JAR 파일을 실행합니다.
게다가, JAR 파일 사본이 Windows 시작 폴더에 복사되어 시스템 재부팅 후 자동으로 실행되도록 합니다.
그런 다음 손상된 컴퓨터에서 운영 체제 버전과 설치된 바이러스 백신 소프트웨어에 대한 세부 정보, 그리고 Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook, Thunderbird의 계정 데이터 등 민감한 정보를 빼내기 위해 Pastebin 서버와 연결을 설정합니다.
또한 서버에서 추가 명령을 수신하여 더 많은 페이로드를 다운로드하고 실행하고, 키 입력을 기록하고, cmd.exe나 PowerShell을 사용하여 명령을 실행하고, 시스템을 재시작하거나 종료하고, 프록시를 설치하고, 스스로를 제거하도록 설계되었습니다.
BI.ZONE은 “JAR과 같은 덜 일반적인 파일 유형을 사용하면 공격자가 방어를 우회할 수 있습니다.”라고 말했습니다. “Pastebin과 같은 합법적인 웹 서비스를 사용하여 손상된 시스템과 통신하면 네트워크 보안 솔루션을 회피할 수 있습니다.”
