최근 치안신은 카자흐스탄에 있는 Kazchrome 기업 정보를 미끼로 피싱 공격을 진행, 이 업체는 세계 최대의 탄소 크롬 제조업체로 전해진다. 소스를 분석하고 추적한 결과 실행된 트로이목마는 APT28이 일반적으로 사용하는 Zebrocy의 변종으로 의심되는 것으로 알려졌다.
해당 공격은 피해자로 하여금 악성 매크로를 활성화하도록 유도하는데, 해당 매크로가 활성화 되면 원격 제어 트로이 목마가 유포된다. APT28은 Fatasybear, Sednit, Pawn Storm, Sofacy Group, STRONTIUM 등 업계에서 다양한 별칭을 갖고 있다. 이들은 주로 NATO 국가에 대한 사이버 공격을 수행하는데, 최근에는 중앙 아시아를 겨냥한 공격이 종종 보이고 있다. 이들의 공격 분야는 군, 안보기관 등 정부를 대상으로 한다.
치안신이 확보한 샘플 이름은 모두 러시아어로 되어있으며 모두 동일한 악성 매크로를 사용하여 공격을 한다. 미끼 유형은 문서 파일로 Kazchrome 등록 양식으로 위장하여 피해자가 매크로를 활성화 하도록 유도한다. 해당 문서는 아래와 같다.
요약하자면 APT28은 최근 몇 년 간 활발하게 활동하고 있으며 목표는 점점 더 많은 국가를 대상으로 하고 있다. 이들이 공격에 주로 사용하는 Zebrocy 트로이 목마는 Delphi, GO, AutoIT 및 기타 언어들이 포함된다.
[출처 : 치안신 / 2.22.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.