러시아-우크라이나 사이버 공격에 대한 또 다른 사이버 스파이 활동 관련 IOC 14개 발견

IOC:
http://b29.bet/SoftwareUpdate.exe
http://b29.bet
http://104.18.24.213
http://b29.bet/SoftwareUpdate.exe
http://b29.bet
104.18.24.213
6e7775277b18a481ca4ce24d5e13fd38ab1b5991
079037f3abff65ce012af1c611f8135726ef0ad2
35c6d3b40ba88f5da444083632c8e414a67db267
296f26fb9b09a50f13bdf6389c05f88019bac13f
4476657d32a55ca0d89d21d2a828a8d8cbc5dbab
34dfdf16d13f974a06f46486ab4ad7034db8e9d5
bbb9bf63efc448706f974050bef23bb1edd13782
bbb9bf63efc448706f974050bef23bb1edd13782

요약:
러시아가 우크라이나에서 진행 중인 사이버 공격과 관련된 최신 사건과 관련하여 Wiper 등과 같은 파괴적인 아티팩트를 넘어 Quasar RAT로 알려진 잘 알려진 오픈 소스 멀웨어의 변형을 활용하여 시스템을 손상시키려는 악의적인 사무 문서(이하 악성 문서)의 새로운 물결이 관찰되었다.
최근에 우리는 2022-03-16 생성 시간이 있는 "우크라이나 충돌 업데이트 16_0.doc"이라는 멀독을 식별했고, 그 내용은 전쟁 연구소 웹사이트에서 직접 검색된 것으로 보인다. maldoc은 생성 시간 때문에 이 웹 사이트에서 가장 최근에 게시한 정보가 3월 23일부터(현재 시점에서 고려할 때) 업데이트된 최신 정보로 생성되었습니다.

본 게시물을 작성 중인 현재 시간(2022-03-24)과 일치하는 전쟁연구소 웹사이트의 최신 내용은 다음과 같습니다:

maldoc 분석으로 돌아가면, 이것은 base64 인코딩된 윈도우 파워셸 명령의 실행을 트리거하는 VBA 함수를 포함한다:

해독 기술을 적용하여 마침내 PowerShell 명령을 재구축하고 C2에서 Windows PE 파일을 얻는 것을 주요 목적으로 하는 명령 및 제어 서버 목록에서 HTTP GET 요청을 발견하고 이를 Powershell.exe의 새로운 프로세스로 실행합니다(C2에서 얻은 PE 파일은 %TEMP% 경로에 저장되며 이름이 변경됩니다)med saewfddfh.exe).
강조 표시된 도메인을 확인하십시오. 나중에 설명할 것입니다.

이 샘플 내부의 C2 도메인과 관련하여, 우리는 진행 중인 캠페인의 일부로 보이는 동일한 주제를 가진 다른 샘플의 흥미로운 목록을 발견했다. 그 중 하나는 ZIP 형식의 압축 파일("Ukraine Conflict Update 16_0.zip")로, 같은 이름의 MS Office 문서와 .xlsm 문서를 모두 포함하고 있다. 초기 공격 벡터가 스피어 피싱 이메일을 거치는 것으로 추정할 수 있다.


두 파일 모두 난독화된 VBA 매크로를 가지고 있습니다. 이 매크로는 책임이 있습니다...

Open New Windows

러시아-우크라이나 사이버 공격에 대한 또 다른 사이버 스파이 활동:
https://lab52.io/blog/another-cyber-espionage-campaign-in-the-russia-ukrainian-ongoing-cyber-attacks/