러시아와 연계된 위협 행위자가 자동차 판매를 피싱 미끼로 사용하여 HeadLace라는 모듈식 Windows 백도어를 전달하는 새로운 캠페인에 연루된 것으로 밝혀졌습니다.
Palo Alto Networks Unit 42는 오늘 발표한 보고서에서 “이 캠페인은 외교관을 표적으로 삼았을 가능성이 높으며 2024년 3월 초에 시작되었을 것”이라고 밝혔으며, 중간에서 높은 수준의 신뢰도로 이를 APT28(BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, TA422라고도 함)에 기인한다고 밝혔습니다.
자동차 판매 피싱 미끼 테마는 2023년 7월부터 APT29라는 또 다른 러시아 국가 조직에서 이미 사용되었다는 점이 주목할 만합니다. 이는 APT28이 성공적인 전술을 자체 캠페인에 재활용하고 있음을 시사합니다.
올해 5월 초, 이 위협 요인은 HeadLace 맬웨어와 신임장 수집 웹 페이지를 이용해 유럽 전역의 네트워크를 표적으로 삼는 일련의 캠페인에 연루되었습니다.
이러한 공격은 APT28의 사이버 작전과 Mocky의 특징인 webhook(.)site라는 합법적 서비스를 사용하여 악성 HTML 페이지를 호스팅하는 것이 특징입니다. 이 페이지는 먼저 대상 컴퓨터가 Windows에서 실행 중인지 확인한 다음 그렇다면 다운로드할 수 있는 ZIP 아카이브(“IMG-387470302099.zip”)를 제공합니다.
시스템이 Windows 기반이 아닌 경우 ImgBB에 호스팅된 가짜 이미지, 구체적으로는 Audi Q7 Quattro SUV로 리디렉션됩니다.
보관소에는 세 개의 파일이 있습니다. 이미지 파일로 위장한 합법적인 Windows 계산기 실행 파일(“IMG-387470302099.jpg.exe”), DLL(“WindowsCodecs.dll”), 배치 스크립트(“zqtxmo.bat”)입니다.
계산기 바이너리는 악성 DLL을 사이드로딩하는 데 사용됩니다. 악성 DLL은 배치 스크립트를 실행하도록 설계된 HeadLace 백도어의 구성 요소이며, 이 스크립트는 Base64로 인코딩된 명령을 실행하여 다른 웹훅(.)사이트 URL에서 파일을 검색합니다.
그런 다음 이 파일은 사용자의 다운로드 폴더에 “IMG387470302099.jpg”로 저장되고 실행 전에 “IMG387470302099.cmd”로 이름이 변경된 후 삭제되어 악의적인 활동의 흔적이 지워집니다.
“Fighting Ursa가 사용하는 인프라는 공격 캠페인마다 다르지만, 이 그룹은 종종 이러한 무료로 이용 가능한 서비스에 의존합니다.” Unit 42가 말했습니다. “게다가, 이 캠페인의 전술은 이전에 문서화된 Fighting Ursa 캠페인과 일치하며, HeadLace 백도어는 이 위협 행위자만 사용할 수 있습니다.”