맬웨어 캠페인으로 잘 알려진 러시아의 한 위협 행위자가 COVID-19를 피싱 미끼로 활용한 또 다른 공격으로 위협 환경에 다시 나타났다.
이는 공격 행위자들이 어떻게 현재 세계의 사건들을 자신들에게 유리하게 재용도하는 데 능숙한지를 다시 한번 보여준다고 볼 수 있다.
이 작전을 APT28(일명 Sofacy, Sednit, Fancy Bear, STRONTIUM)의 하위 그룹과 연계한 사이버보안 회사인 Intezer는 대유행을 주제로 한 피싱 이메일이 Zebrocy(또는 Zekapab) 악성코드의 Go 버전을 전달하기 위해 사용되었다고 말했다.
또한 이 사이버 보안 회사는 지난달 말에 이 캠페인이 관찰되었다고 덧붙였다.
Zebrocy는 주로 매크로 및 실행 가능한 파일 첨부를 포함된 Microsoft Office 문서를 포함하는 피싱 공격을 통해 전달된다.
2015년 처음 발견된 이 악성코드의 운영자는 Sandworm이라 불리는 블랙에너지(BlackEnergy)의 후계자로 추정되는 위협그룹 그레이에너지(GreyEnergy)와 겹치는 것으로 밝혀졌으며, 소페이시(Sofacy)와 그레이에너지(GreyEnergy)와의 연계로 하위 그룹의 역할을 시사했다.
시스템 정보 수집, 파일 조작, 스크린 샷 캡처, 공격자 통제 서버에 유출되는 악성 명령 실행 등이 가능한 백도어 및 다운로더로 작동한다.
Zebrocy는 원래 Delphi(일명 Delphocy)로 쓰인 반면, 이후 AutoIT, C++, C#, Go, Python 및 VB.NET을 포함하여 6개의 언어로 구현되었다.
Intezer가 포착한 이 특정 캠페인은 2018년 10월 팔로알토네트웍스가 먼저 문서화한 후 2019년 초 카스퍼스키가 문서화한 Go 버전의 악성코드를 사용하며, 피해자들이 파일에 액세스하기 위해 Windows 10을 사용해야 하는 가상 하드 드라이브(VHD) 파일의 일부로 전달된다.
[그림1. Zebrocy VHD Content]
일단 마운트되면 VHD 파일은 두 개의 파일이 있는 외장 드라이브로 나타나는데, 하나는 COVID-19 백신이 후기 임상시험에서 바이러스에 86%의 효과가 있는 것으로 밝혀진 중국계 제약회사인 시노팜 인터내셔널에 대한 프레젠테이션 슬라이드를 담는 것을 목표로 하는 PDF 문서다.
두 번째 파일은 열릴 때 Zebrocy 악성코드를 실행하는 Word 문서로 위장하는 실행 파일이다.
Intezer는 또 인도 민간 항공국의 대피 편지를 사칭한 피싱 미끼로 카자흐스탄을 목표로 한 별도의 공격도 목격했다고 밝혔다.
Zebrocy를 제공하는 피싱 캠페인이 최근 몇 달 동안 실제로 여러 번 목격되었다.
ESET는 지난해 9월 동유럽과 중앙아시아 국가 외교부를 겨냥한 Sofacy의 침입 행위를 상세히 보도했다.
그 후 올 8월 초, QuoIntelligence는 Zebrocy Delphi 변종을 배포하기 위해 NATO 교육 과정을 공유하는 것처럼 아제르바이잔의 정부 기관을 겨냥한 별도의 캠페인을 적발했다.
Zebrocy 백도어의 Golang 버전도 지난 10월 말 권고를 발표한 미국 CISA의 주의를 끌며 "원격 운영자가 손상된 시스템에서 다양한 기능을 수행할 수 있도록 설계됐다"고 경고했다.
이러한 공격을 막기 위해 CISA는 이동식 미디어를 사용하고 알 수 없는 보낸 사람의 전자 메일과 첨부 파일을 열 때 주의를 기울이고 의심스러운 이메일 첨부 파일을 스캔하고, 스캔 된 첨부 파일의 확장이 파일 헤더와 일치하는지 확인할 것을 권고한다.
출처
https://thehackernews.com/2020/12/russian-apt28-hackers-using-covid-19-as.html
https://www.bleepingcomputer.com/news/security/russian-hackers-hide-zebrocy-malware-in-virtual-disk-images/
