Kaspersky Links Head Mare to Twelve, Targeting Russian Entities via Shared C2 Servers
- 위협 그룹 개요
- Head Mare와 Twelve는 2024년 Kaspersky에 의해 식별된 독립적 위협 행위자
- 최근 분석에서 Head Mare가 Twelve의 C2 서버, 도구(CobInt 등)를 공유하며 협력 정황 포착
- 목표 대상은 러시아의 방산, 기계, 산업 설비 등 핵심 산업 분야
- 주요 침투 기법
- WinRAR 취약점(CVE-2023-38831), ProxyLogon(CVE-2021-26855) 등 공공 취약점 악용
- 피싱 이메일 통한 ZIP 파일 유포 및 악성 첨부 실행
- 계약업체 네트워크 선제 침투 후 신뢰 기반 공격(trusted relationship attack) 수행
- 배포 악성코드 및 도구
- CobInt: ExCobalt 및 Crypt Ghouls에서 사용된 백도어
- PhantomJitter: 원격 명령 실행용 맞춤형 임플란트
- PhantomPyramid: 최근 발견된 Python 기반 백도어
- MeshAgent: Awaken Likho 캠페인에서도 활용된 오픈소스 RMM 도구
- 공격 흐름 및 TTPs
- 권한 상승: 특권 계정 생성 후 RDP 이용, 이벤트 로그 삭제 및 흔적 제거
- 내부 정찰: quser, netstat, fscan, SoftPerfect, ADRecon 등 활용
- 인증정보 수집: Mimikatz, secretsdump, ProcDump
- 수평 이동: PsExec, smbexec, wmiexec, PAExec, RDP
- 데이터 탈취 및 암호화: Rclone 활용 후 LockBit 3.0 및 Babuk 배포
- 인프라 분석
- GitHub, Cloudflared, Gost 등 프록시 및 터널링 도구로 C2 트래픽 은폐
- 구성파일 내 감염 추적, 암호화 상태 및 지리정보 수집 기록
- Telegram을 통한 피해자 연락 및 복호화 요구
- 결론
- Head Mare와 Twelve는 상호 기술·인프라를 공유하며 공동 작전 수행 중
- PhantomJitter, PhantomPyramid, MeshAgent 등 고도화된 도구의 지속적 개발·도입으로 러시아 산업체 전방위 공격 확대
- 계약업체 침해, 프록시 기반 C2, 오픈소스 도구 악용 등은 향후 다른 국가 대상 공격에도 재사용될 가능성 존재
- 러시아 내 위협 활동이 증가하면서 다양한 APT 그룹의 공격 중첩 양상도 포착됨(Bloody Wolf, ScarCruft 등)
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 딥시크 포비아 확산과 국내 AI 스타트업의 개인정보 보호 우려 (0) | 2025.05.05 |
|---|---|
| Cloudflare, API 전용 HTTPS 전환으로 HTTP 포트 전면 차단 (0) | 2025.05.05 |
| Ansible vs Terraform: 인프라 자동화를 위한 보안 관점 비교 (0) | 2025.05.05 |
| 2025년 기업이 간과한 10대 네트워크 침투 테스트 결과 정리 (0) | 2025.05.05 |
| PowerShell 기반 악성코드 감염 유도용 ‘위조 CAPTCHA’ 공격 기법 확산 (0) | 2025.05.05 |