최근 보안업체 Malwarebytes의 보안 연구원드른 러시아의 탄도 미사일 및 우주 로켓 프로그램을 위한 액체 및 고체 연료를 개발하는 회사인 JSC GREC Makeyev를 비롯한 많은 러시아 기업을 대상으로 한 여러 공격을 발견했다.

이 공격의 배후에 있는 위협 행위자는 스피어 피싱 공격을 준비, 무기화된 office 문서를 첨부파일로 사용한 것으로 알려졌다. 해당 문서는 CVE-2021-40444 Internet Explorer 취약점을 악용하도록 제작되었으며 기업의 HR 부서에서 보낸 것처럼 위장하고 있다.

이와 관련하여 최근 마이크로소프트는 Windows MSHTML 원격 코드 실행 보안 취약점(CVE-2021-4044)을 악용하는 랜섬웨어 운영자를 포함한 여러 위협 행위자를 경고한 바 있으며,  보안 소식통에 따르면 위협행위자는 이미 마이크로소프트가 취약점에 대한 패치를 공유하기 전인 8월 18일에 해당 취약점을  타깃으로 한 공격을 시작했고 당시 계약과 관련한 문서를 사칭하는 이메일을 사용했을 가능성 높은 것으로 알려졌다.

한 편 기업 HR 부서에서 보낸 것처럼 위장된 미끼 문서 외에도 러시아 내무부 관련 문서가 공격에 사용된 것으로 알려졌다. 해당 문서의 이름은 “불법 행위 통지문”으로, 수신자가 비어있는 양식을 작성하여 내무부에 반환하거나 7일 이내에 메일에 회신할 것을 요구하고 있다.

공격의 특성으로 미루어보아 공격이 국가 배후 행위자에 의해 수행된 사이버 스파이 활동의 일부인 것으로 보이나 관련하여 보안 전문가들은 특정 공격조직을 특정하지 않고 있다.

이와 관련하여 러시아 Rostelecom-Solar와 FSB National Coordination Center for Computer Incidents가 발행한 공동 보고서에는 지난 5월 외국 해커가 러시아 연방기관의 정보를 탈취했다고 언급하고 있다. 구체적으로 해당 공격들은 2020년에 처음 발견되었으며 공격자들은 스피어피싱 공격, 웹 어플리케이션 취약점을 악용하여 러시아 연방 법 집행기관의 인프라에 침투하기 위해 계약자의 인프라를 해킹했다.

[출처 : SecurityAffairs / 9.26.]