UAC-0125 Abuses Cloudflare Workers to Distribute Malware Disguised as Army+ App
- 주요 개요
- 위협 행위자: UAC-0125
- 대상: 우크라이나 군 관계자
- 악성코드 위장 앱: Army+, 우크라이나 국방부가 도입한 디지털화 앱으로 가장
- 사용된 기술: Cloudflare Workers 서비스를 활용하여 악성코드 배포
- 목적: 감염된 시스템에 대한 원격 접근 권한 확보
- 공격 세부 내용
- 웹사이트: Cloudflare Workers를 이용해 위조된 웹사이트 제작
- 배포 방법: 피해자가 Army+ 앱으로 위장한 Windows 실행 파일 다운로드 유도
- 작동 원리:
- 실행 파일이 Nullsoft Scriptable Install System(NSIS)를 사용하여 생성
- 실행 시 디코이 파일 표시 및 PowerShell 스크립트 실행
- 스크립트가 OpenSSH 설치, RSA 암호키 생성, 공개키를
authorized_keys파일에 추가 - 비공개키를 TOR 네트워크를 통해 공격자 제어 서버로 전송
- 결과: 원격 접근 권한 획득 및 피해자 시스템 제어
- 위협 행위자 분석
- UAC-0125는 UAC-0002와 연계됨
- UAC-0002의 다른 명칭
- APT44, FROZENBARENTS, Sandworm, Seashell Blizzard, Voodoo Bear
- 연관 조직: 러시아 연방군 총참모부 정보국(GRU) 산하 Unit 74455
- 추가 악용 사례
- Cloudflare Workers 및 Pages 플랫폼에서 피싱 캠페인 증가
- 2023년 460건 → 2024년 1,370건 (Pages)
- 2023년 2,447건 → 2024년 4,999건 (Workers)
- 목적: Microsoft 365 로그인 페이지 위조, 사용자 인증 페이지 제작 등을 통해 자격 증명 탈취
- Cloudflare Workers 및 Pages 플랫폼에서 피싱 캠페인 증가
- 국제적 대응 및 제재
- 유럽연합, 러시아의 해외 불안정 활동에 연루된 개인 16명과 단체 3곳에 제재
- GRU Unit 29155: 암살, 폭탄 테러, 유럽 내 사이버 공격 관련
- Groupe Panafricain pour le Commerce et l'Investissement: 친러시아 정보 작전
- African Initiative: 러시아 프로파간다 확대
- 주요 인물 제재
- 소피아 자하로바: 러시아 대통령실 ICT 인프라 개발 책임자
- 니콜라이 투피킨: GK Struktura 창립자, 미국 재무부의 제재 대상
- 유럽연합, 러시아의 해외 불안정 활동에 연루된 개인 16명과 단체 3곳에 제재
- 결론 및 보안 권고
- Cloudflare와 같은 합법적인 서비스 악용 증가로 피싱과 악성코드 유포 위협 확대
- 다운로드하는 파일의 출처와 형식 철저히 확인
- TOR 트래픽과 의심스러운 IP 주소 모니터링
- 다중 인증(MFA) 도입 및 주기적인 보안 업데이트 실시
- Cloudflare 등 서비스 제공자의 악성 활동 탐지 및 대응 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 해커, MSC 파일 악용해 파키스탄 대상 백도어 배포 공격 (0) | 2025.01.03 |
|---|---|
| 고도화된 리눅스 루트킷 PUMAKIT 등장: 권한 상승·파일 은닉·디텍션 우회 (0) | 2025.01.03 |
| 안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안 (0) | 2025.01.02 |
| Webview2 악용으로 CoinLurker 악성코드 배포: 가짜 업데이트 유도 주의 (0) | 2025.01.02 |
| APT29(러시아 연계) 해커, 악성 RDP 서버·PyRDP 활용한 공격 전술 (0) | 2025.01.02 |