우크라이나의 Computer Emergency Response Team(CERT-UA)는 러시아 출신의 해킹 그룹 'Gamaredon'이 공격에 사용하는 빠른 공격 메커니즘과 관련된 경보를 발표했습니다. 이 그룹은 FSB(러시아 연방보안국)와 연결되어 있으며, 과거 SSU 오피서들로 구성되어 있다. 이들은 2014년 러시아로 이탈한 후, 우크라이나의 정부 및 다른 중요한 공공 및 민간 기관에 수천 건의 공격을 가했습니다.
Gamaredon의 주요 공격 패턴에는 이메일이나 메신저 앱을 통해 사람들을 표적으로 삼는 것이 포함되어 있습니다. 공격의 첫 단계에서 피해자는 HTM, HTA, LNK 파일과 같은 악성 첨부파일을 열며, 이러한 파일들은 주로 MS Word 또는 Excel 문서로 가장되어 있습니다. 피해자가 이러한 악성 첨부파일을 실행하면 PowerShell 스크립트와 'GammaSteel'이라 불리는 악성소프트웨어가 피해자의 장치에 다운로드되는 방식입니다.
CERT-UA에서는 또한 Gamaredon의 초기 침투 페이로드로 감염된 USB를 사용하면, 고립된 네트워크까지도 침투가 활성화될 수 있음을 경고했습니다. 이 외에도 해커들은 피해자의 명령 및 통제 서버의 IP 주소를 하루에 세 번에서 여섯 번까지 변경해, 공격자들의 활동을 차단하거나 추적하는 것을 어렵게 만듭니다. CERT-UA는 Gamaredon 공격의 효과를 제한하는 가장 좋은 방법은 mshta.exe, wscript.exe, cscript.exe, powershell.exe의 불법적인 실행을 차단하거나 제한하는 것이라고 말했습니다.
요약
- 우크라이나의 CERT-UA는 러시아의 해킹 그룹 'Gamaredon'의 빠른 공격 메커니즘에 대해 경고하였다.
- Gamaredon의 공격은 주로 이메일이나 메신저 앱으로 시작되며, 악성 첨부파일을 열게 함으로써 피해자의 장치에 악성소프트웨어를 다운로드 시킨다.
- Gamaredon의 초기 침투 페이로드로 감염된 USB를 사용하면, 고립된 네트워크까지도 감염이 확산될 수 있다.
- 해커들은 피해자의 명령 및 통제 서버의 IP 주소를 하루에 세 번에서 여섯 번까지 변경한다.
- Gamaredon 공격의 효과를 제한하는 가장 좋은 방법은 불법적인 실행을 차단하거나 제한하는 것이다.
Reference
*※ 이 글은 생성형 AI(Chatgpt-4)에 의해 요약되었습니다.