프랑스 사이버 보안 기관 ANSSI는 최근 러시아와 연계된 APT 조직인 Nobelium이 2021년 2월부터 프랑스 조직을 표적으로 삼고 있다고 밝혔다. Nobelium(APT29, Coy Bear)는 SUNBURST 백도어, TEARDROP 및 GoldMax 멀웨어 등을 비롯한 여러 악성코드를 사용하여 솔라윈즈에 대한 공급망 공격을 수행한 위협 행위자로 알려져있다.
Nobelium은 정부 기관, 비정부기관(NGO), 싱크탱크, 군, IT 서비스 제공업체, 의료 기술연구, 통신 제공업체에 중점을 두고 공격을 수행하는데, 최근 이 조직이 프랑스에 속한 이메일 계정을 손상시키고 이를 사용하여 해외 기관을 겨냥한 스피어 피싱 캠페인을 조직한 것으로 알려졌다. 이에 프랑스 사이버 보안 기관 ANSSI는 프랑스 공공 기관이 동일한 위협 행위자에 의해 손상되었을 가능성이 있는 해외 기관에 속한 서버에서 보낸 스푸핑 이메일의 표적이 되었다고 밝히며 ANSSI가 모니터링한 피싱 캠페인과 지난해 솔라윈즈 공급망 공격의 TTPs 간 중복성이 확인되었다고 언급했다.
보편적으로 스피어 피싱 공격에 의해 전달되는 페이로드가 Cobalt Strike인 반면 프랑스 조직에 대한 공격에서 사용된 공격 인프라는 주로 다른 공급자의 VPN을 사용하여 생성된 것으로 알려졌다. 특히 국가 행위자는 대상 국가에 가까운 서버를 사용하는데, 전문가들은 C2 인프라 내 여러 IP 주소가 OVH 제공업체에 속한다는 사실을 알아냈다.
한 편 ANSSI 연구원들은 위협행위자가 Active Directory(AD) 서버에 집중하기 때문에 조직이 이를 방어하기 위한 보안조치를 개선할 것을 권장한다고 밝혔다. 또한 ANSSI 전문가들은 무기화된 첨부 파일은 차단하기 위해 메일 內 첨부파일을 실행하지 않을 것을 권장하고 있다.
[출처 : SecurityAffairs / 12.6.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.