APT29, Cozy Bear로도 알려진 노벨리움은 러시아 지원을 받는 고급 사이버 범죄 조직으로 의심된다. 2년 전 이들의 솔라윈즈 공격은 수많은 방어 팀이 24시간 일을 하게 만들었고, 보다 최근에 APT 29는 목표를 변경하여 대사관으로 관심을 돌렸다.

연구원들은 APT29가 피싱 메일 공격에서 터키 대사관과 관련된 사람으로 가장하고 있음을 발견했다. 피싱 메일은 Omicron/Covid-19를 미끼로 사용하여 대사관 관련자들에게 각별한 주의를 요한다.

이메일 계정은 사회문제를 전담하는 정부 부처의 유출된 계정으로, 아프리카에 있는 프랑스어권 국가에서 터키 대사관으로 위장해 포르투칼어권 국가로 보내졌고, 메일 자체는 영어로 작성된 것으로 알려졌다. 이메일에는 .html 첨부 파일이 있는데, 이 파일은 악성 자바 스크립트 파일을 생성한다.

원래 APT29의 HTML smuggling 공격은 EnvyScout를 사용하여 텍스트를 .iso 파일로 변환했다. APT29의 도구 중 하나인 EnvyScout는 x-cd-image 응용 프로그램 형식의 파일로, .iso 파일을 생성하는 기능은 매우 단순화되었다.

또한 APT29가 사용한 이전 악성 파일과 최신 악성 파일 모두 dll 파일에 대한 바로가기를 포함하고 있는데, bin 폴더에 있는 dll 파일의 이름은 “deletedateconnectionposition.dll”로 알려졌다.

한 편, C2 서버를 통해 상당수가 cobalt strike 서버와 연결돼있음을 확인했고, APT29가 사용하는 기술은 과거에 사용된 기술과 유사하며 피싱 메일은 여전히 이 조직의 효과적인 공격방법인 것으로 보여진다.

[출처 : 中 보안매체 / 3.3.]