Russia-linked APT UAC-0063 target Kazakhstan in with HATVIBE malware
- 공격 배경 및 목표
- UAC-0063: 러시아 연계 APT(Advanced Persistent Threat) 그룹으로, 중앙아시아의 경제 및 정치 정보 수집을 목적으로 활동
- 주요 공격 지역: 카자흐스탄, 우크라이나, 동아시아 및 유럽
- 주 타깃: 정부 기관 및 외교 관계
- 악성코드 무기화: 카자흐스탄 외교부 문서를 활용한 첩보 활동
- 악성코드 동작 방식
- 문서 기반 공격: 매크로가 활성화되면 Temp 폴더에 두 번째 빈 문서를 생성
- 두 번째 문서에 settings.xml 파일의 변수를 삽입하고, 추가 악성 매크로를 포함
- 초기 매크로는 숨겨진 Microsoft Word 인스턴스를 실행해 두 번째 문서를 열고, 악성 HTA 파일(HTML Application)을 투입
- HTA 파일은 HATVIBE라는 VBS 기반 백도어를 설치
- HATVIBE는 CHERRYSPY(Python 백도어)를 배포하기 위한 로더 역할 수행
- 문서 기반 공격: 매크로가 활성화되면 Temp 폴더에 두 번째 빈 문서를 생성
- Double-Tap 캠페인의 특징
- 감염 체인: VBA 스크립트, 레지스트리 수정, 예약 작업을 통한 지속성 확보
- 보안 우회 기술
- 악성 매크로 코드를 settings.xml에 숨김
- schtasks.exe 실행 없이 예약 작업 생성
- 반에뮬레이션 기법 사용: 실행 시간이 변경되면 매크로 작동 중단
- Double-Tap과 Zebrocy(또 다른 GRU 그룹 활동) 간 유사성 존재
- HATVIBE 및 연계 악성코드
- HATVIBE: 초기 로더로 작동, VBS 모듈 다운로드
- CHERRYSPY: Python 기반 백도어로, 심층적인 정보 수집과 시스템 제어를 가능케 함
- STILLARCH(DownEx): 추가 정보 수집 및 정찰
- 결론
- UAC-0063의 공격 전략은 정부 기관 및 외교 문서와 같은 고가치 데이터를 타깃으로 한 정교한 기법
- 카자흐스탄 외교 문서 무기화는 지역 내 경제 및 정치 정보를 수집하기 위한 러시아의 주요 전략
- 보안 우회 기술과 지속성 확보 메커니즘은 기존 보안 솔루션으로 탐지하기 어려움을 보여줌
- 보안 권고
- 정부 기관 및 기업은 문서 기반 공격 탐지를 위한 매크로 보안 설정 강화
- HTA 파일 실행 차단 및 레지스트리 수정 모니터링 필요
- Python 및 VBS 스크립트 기반 악성코드 탐지를 위한 네트워크 분석 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Aviatrix Controller 취약점 악용: 백도어 및 암호화폐 채굴 공격 (0) | 2025.01.23 |
|---|---|
| Kong Ingress Controller 이미지의 악성 코드 발견: DockerHub 공급망 보안 침해 (0) | 2025.01.23 |
| 윈도우 10 지원 종료와 대응 전략: 패치 관리 및 업그레이드 필수 (0) | 2025.01.23 |
| 오픈소스의 미래를 결정지을 4가지 트렌드 (1) | 2025.01.23 |
| 2025년 사이버보안 트렌드와 엣지 보안 강화 필요성 (0) | 2025.01.23 |