미국 현지시간 7월 20일, 미국 사이버사령부가 러시아가 우크라이나를 상대로 기존에 알려지지 않은 새로운 해킹 기술을 사용한 사실을 확인했다고 밝혔다.

관련해 맨디언트는 우크라이나를 겨냥한 러시아 연계의 사이버 공격 그룹에 대한 종합적 개요와 분석을 제공하는 새로운 조사 보고서를 공개했다.

맨디언트 위협 인텔리전스 조사 보고서는 러시아군이 우크라이나 마을을 포격하는 동안, 러시아 사이버 공격자로 의심되는 공격자들이 우크라이나 공공 기관 및 민간 조직들에게 “일제 사격 시스템 포격–어떻게 해야 하는가?", "대피 계획" 등의 긴급성 제목으로 악성 첨부 파일을 이메일로 보낸 것을 확인했다고 전했다.

이러한 활동은 목표 네트워크에 접근하기 위해 착수된 것으로 보이지만 침입 시도가 성공할 경우 계획한 활동은 아직 불분명하다.

맨디언트 보고서 주요 내용은 다음과 같다. 

-활동 기간: 최소 2022년 2월 말부터 3월

-맨디언트 전문가가 분석한 스피어피싱 공격 배후: UNC1151, UNC2589

-두 그룹의 캠페인은 표면적으로 겹치는 부분이 있지만 연계되진 않은 것으로 확인

‘UNC1151’은 벨라루스의 후원을 받고 있는 것으로 예상된다. 러시아의 우크라이나 침공 이후 매우 적극적으로 우크라이나를 겨냥하고 있다. 

‘UNC2589’는 러시아 정부의 이익을 위해 활동 중인 그룹으로 1월 14일, 위스퍼게이트(WHISperGATE)라고도 불리는 페이와이프(PAYWIPE) 멀웨어를 사용해 우크라이나 정부 기관을 겨냥한 파괴적인 사이버 공격과 광범위한 스파이 활동을 개시했다. 

-비컨(BEACON) 백도어 페이로드와 최초로 스크린샷 기능이 포함된 마이크로백도어(MICROBACKDOOR)의 수정 버전 멀웨어 사용

-손상된 우크라이나 개인 계정을 활용해 피싱 메일을 전송하고 합법적인 메일로 보이도록 설계

-"고스트라이터(Ghostwriter)"로 명명된 정보작전(IO)을 지원하기 위해 침투로 얻은 접근 권한 및 정보를 사용

-손상된 우크라이나 개인 계정을 활용해 피싱 메일을 전송하고 합법적인 메일로 보이도록 설계

-2022년 3월 27일, UNC2589로 의심되는 캠페인이 그림플랜트(GRIMPLANT)와 그래프스틸(GraphSTEEL) 멀웨어를 우크라이나 기관에 유포

‘그림플랜트’는 고(GO) 언어로 만들어진 백도어로, 구글 RPC를 이용해 시스템 조사를 수행하고 이를 공격자가 악성 코드를 원격으로 조종하기 위해 사용하는 C&C서버에 업로드하여 C&C서버의 명령을 탈취한 기기에서 실행한다. 

‘그래프스틸’은 퍼블릭 깃허브(Github) 프로젝트 고라잔(goLazagne)의 무기화된 변형 버전으로 보이는 정보 탈취 악성 코드(infostealer)로, 브라우저 자격 증명을 포함해 대상 시스템에 대한 설문 조사를 수집하고 D - Z 드라이브를 열거하여 파일을 C&C서버에 업로드한다. 

★정보보안 대표 미디어 데일리시큐!★