러시아의 국가주의자 그룹인 Star Blizzard가 정부, 외교, 국방 정책, 국제 관계, 그리고 우크라이나 지원 조직을 대상으로 WhatsApp 계정을 침해하는 새로운 스피어 피싱 캠페인을 진행하고 있습니다. Microsoft Threat Intelligence 보고서에 따르면, 이 캠페인은 2024년 11월 중순에 관찰되었으며, 최근 Star Blizzard의 전술, 기법, 절차가 노출된 것에 대한 대응으로 전략적 변화를 보여줍니다.
Star Blizzard는 미국 정부 공무원을 가장하여 대상에게 이메일 메시지를 보내 공격을 시작합니다. 유인하는 방법은 우크라이나를 지원하는 비정부 조직과 관련된 WhatsApp 그룹에 가입하라는 초대입니다. 이메일에는 고의적으로 손상된 QR 코드가 포함되어 있어, 수신자가 대체 링크를 요청하도록 강제합니다. 피해자가 응답하면, Star Blizzard는 't[.]ly' 짧은 링크가 포함된 다른 이메일을 보내, 이 링크는 피해자를 새로운 QR 코드가 있는 가짜 WhatsApp 초대 페이지로 이동시킵니다.
하지만, 새로운 QR 코드는 공격자의 장치를 피해자의 WhatsApp 계정에 연결하기 위한 것입니다. Microsoft는 "대상이 이 페이지의 지시사항을 따르면, 위협 행위자는 피해자의 WhatsApp 계정의 메시지에 접근할 수 있고, 이 데이터를 기존의 브라우저 플러그인을 사용하여 추출할 수 있다"고 설명합니다. 이 공격은 완전히 사회 공학에 의존하며, 바이러스 검출 도구가 감지할 수 있는 악성 소프트웨어가 관련되어 있지 않기 때문에, 사용자들은 뜻밖의 통신에 대해 경계하고 그룹에 가입하는 초대를 받을 때는 특별히 주의해야 합니다.
요약
- 러시아의 국가주의자 그룹 Star Blizzard가 정부, 외교, 국방 정책, 국제 관계, 우크라이나 지원 조직을 대상으로 WhatsApp 계정을 침해하는 새로운 스피어 피싱 캠페인을 진행 중이다.
- Star Blizzard는 미국 정부 공무원을 가장하여 이메일을 보내고, 고의적으로 손상된 QR 코드를 포함하여 피해자가 대체 링크를 요청하도록 한다.
- 피해자가 응답하면, Star Blizzard는 가짜 WhatsApp 초대 페이지로 이동시키는 링크를 보내고, 이 페이지에서 새로운 QR 코드를 통해 공격자의 장치를 피해자의 WhatsApp 계정에 연결한다.
- 이 공격은 완전히 사회 공학에 의존하며, 바이러스 검출 도구가 감지할 수 있는 악성 소프트웨어가 관련되어 있지 않다.
- 사용자들은 뜻밖의 통신에 대해 경계하고 그룹에 가입하는 초대를 받을 때는 특별히 주의해야 한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.