Frequent freeloader part II: Russian actor Secret Blizzard using tools of other groups to attack Ukraine | Microsoft Security Blog
- 배경 및 공격 개요
- Secret Blizzard는 러시아 정부와 연계된 APT 그룹으로, Turla, Waterbug, Venomous Bear, Snake 등 여러 명칭으로도 알려짐
- 우크라이나를 상대로 제3자(다른 사이버 범죄 그룹 등)가 이미 구축한 접근 권한과 악성 인프라를 활용해 장기 정보 수집을 수행
- Tavdig 백도어를 감염 발판으로 삼아 추가 악성 페이로드인 KazuarV2를 설치하여 표적 시스템을 지속적으로 정찰
- 기술적 특징 및 공격 흐름
- Amadey 봇(Storm-1919) 악용
- Amadey의 기존 C2(Command & Control) 인프라를 가로채거나 서비스 구매 가능성
- 감염된 장치에 PowerShell 드로퍼를 통해 Tavdig 백도어 삽입
- 클립보드 및 브라우저 자격 증명 탈취 목적으로
cred64.dll, clip64.dll 같은 플러그인을 다운로드 시도
- Storm-1837 파워셸 백도어 악용
- 원격 명령 수행, 파일 다운로드 등 수행
- Storm-1837은 Flying Yeti, UAC-0149 등으로도 불리며, 우크라이나 드론 운용사를 집중 공격
- 감염 후 Tavdig와 KazuarV2를 차례로 설치하여 심층 정찰 및 데이터 유출
- Tavdig(백도어)와 KazuarV2 연계
- Tavdig( rastls.dll )은 합법 바이너리(kavp.exe)에 DLL 사이드로딩 방식으로 실행
- 추가 스캐닝 및 레지스트리 파일 임포트로 KazuarV2 백도어 설치
- KazuarV2는 브라우저 프로세스에 삽입, 공격자 중계 서버를 통해 암호화된 명령 전송 및 데이터 탈취
- 공격 벡터 다양화
- LNK 기반 공격과 유사하게 피싱, 워터링 홀(전략적 웹 사이트 감염), AiTM(중간자 공격) 등 다양한 접근 시도
- 러시아 법규(예: SORM)를 통해 합법적으로 구축된 감청 시스템을 악용해 공격 가능성
- 서버 사이드 및 엣지 장치를 집중 타깃으로 삼아 네트워크 내부에서 횡적 이동 수행
- 공격 주요 목표
- 우크라이나 군 및 정부 부처, 특히 전방부대(Starlink IP 사용) 기기 집중 타깃
- 방위 산업, 외교, 정부 사무 등 장기 정보 수집이 목적인 스파이 활동
- 보안 권고
- 엔드포인트 보안 강화
- Microsoft Defender for Endpoint 등의 공격 면 축소(ASR) 규칙 적용
- PowerShell 실행 정책 강화 및 스크립트 블록 로깅 활성화
- 의심스러운 프로세스 시작, DLL 사이드로딩 감시
- 정기 업데이트 및 패치
- OS, 소프트웨어 및 보안 솔루션 최신 버전 유지
- 네트워크 방어 전략
- 의심 IP·도메인 차단, TOR 트래픽 모니터링
- 세분화된 네트워크 구성을 통해 횡적 이동 차단
- IAM(Identity and Access Management) 강화
- 다중 인증(MFA) 적용
- 계정 사용 현황 모니터링 및 의심스러운 로그인 차단
- 침해 지표(IOC) 기반 사후 분석
- 공개된 C2 도메인 및 해시값(IOC)와의 연결 여부 점검
- 악성 PowerShell 명령 탐지 쿼리 활용 및 정기 감사