러시아 연계 위협 그룹으로 알려진 윈터 비번 지난 10월 유럽 전역의 Roundcube 웹메일 서버에서 XSS(교차 사이트 스크립팅) 취약점을 악용하는 것이 발견되었으며 이제 피해자가 밝혀지고 있습니다.
오늘 발표된 캠페인에 대한 Recorded Future의 Insikt Group 보고서에 따르면 이 그룹은 주로 조지아, 폴란드, 우크라이나의 정부, 군대 및 국가 인프라를 표적으로 삼았습니다.
보고서는 또한 모스크바 주재 이란 대사관, 네덜란드 주재 이란 대사관, 스웨덴 주재 조지아 대사관을 포함한 추가 목표를 강조했습니다.
APT(Insikt는 TAG-70, TA473 및 UAC-0114라고도 함)는 정교한 사회공학 기술을 활용하여 Roundcube 제로데이 익스플로잇 운송 및 교육 부문에서 화학 및 생물학 연구 조직에 이르기까지 최소 80개 개별 조직의 대상 메일 서버에 대한 무단 액세스 권한을 얻습니다.
Insikt에 따르면 이 캠페인은 잠재적으로 전략적 이점을 얻거나 유럽 안보 및 동맹을 약화시키기 위해 유럽의 정치 및 군사 문제에 대한 정보를 수집하기 위해 배치된 것으로 생각됩니다.
이 그룹은 벨로루시와 러시아의 이익을 위해 사이버 간첩 캠페인을 수행한 것으로 의심되며 적어도 2020년 XNUMX월부터 활동해 왔습니다.
사이버 스파이 활동에 대한 Winter Vivern의 지정학적 동기
70월 캠페인은 2023년 XNUMX월 Insikt Group이 보고한 우즈베키스탄 정부 메일 서버에 대한 TAG-XNUMX의 이전 활동과 연결되었습니다.
우크라이나를 표적으로 삼는 분명한 동기는 러시아와의 갈등입니다.
“우크라이나에서 진행 중인 전쟁의 맥락에서, 손상된 이메일 서버는 우크라이나가 추가적인 군사 및 경제적 지원을 모색할 때 우크라이나의 전쟁 노력과 계획, 관계, 파트너 국가와의 협상에 관한 민감한 정보를 노출시킬 수 있습니다. Insikt 보고서는 이렇게 말했습니다.
한편, 러시아와 네덜란드 주재 이란 대사관에 대한 초점은 특히 우크라이나 분쟁에서 러시아를 지원하는 이란의 개입을 고려할 때 이란의 지속적인 외교적 참여와 외교 정책 입장을 평가하려는 동기와 연결될 수 있습니다.
마찬가지로, 스웨덴 주재 조지아 대사관과 조지아 국방부를 표적으로 삼은 첩보 활동은 아마도 유사한 외교 정책 중심의 목표에서 비롯되었을 것입니다. 특히 조지아가 초기에 러시아의 우크라이나 침공 이후 유럽 연합 가입 및 NATO 가입 추구를 다시 활성화했기 때문에 더욱 그렇습니다. 2022.
다른 주목할만한 표적에는 물류 및 운송 산업과 관련된 조직이 포함되었으며, 이는 우크라이나 전쟁의 맥락을 바탕으로 말하고 있습니다. 견고한 물류 네트워크가 양측의 전투 능력을 유지하는 데 매우 중요하다는 것이 입증되었기 때문입니다.
사이버 간첩 방어가 어렵다
사이버 간첩 활동이 활발해지고 있습니다. 이달 초 정교한 러시아 APT가 공격을 받았습니다. 시작 우크라이나 군대를 대상으로 한 PowerShell 공격 캠페인이 있었고, 또 다른 러시아 APT인 Turla는 폴란드 NGO를 표적으로 삼았습니다. 새로운 백도어 악성코드.
우크라이나는 또한 러시아에 대한 자체 사이버 공격을 시작했습니다.는 러시아의 지원을 받아 Kyivstar 이동통신사를 침해한 데 대한 보복으로 지난 9월 모스크바 인터넷 서비스 제공업체 MXNUMX Telecom의 서버를 표적으로 삼았습니다.
그러나 Insikt Group 보고서는 특히 제로데이 취약점 악용의 경우 이러한 공격을 방어하는 것이 어려울 수 있다고 지적했습니다.
그러나 조직은 이메일을 암호화하고 특히 민감한 정보 전송을 위한 대체 보안 통신 형태를 고려함으로써 손상의 영향을 완화할 수 있습니다.
모든 서버와 소프트웨어에 패치를 적용하고 최신 상태로 유지하는 것도 중요하며, 사용자는 신뢰할 수 있는 연락처에서 보낸 이메일만 열어야 합니다.
또한 조직은 위생 관리를 철저히 하고 데이터 보존을 줄여 메일 서버에 저장되는 민감한 정보의 양을 제한해야 하며, 민감한 정보와 대화는 가능하면 보다 안전한 상위 시스템으로 제한해야 합니다.
보고서는 또한 취약점, 특히 TAG-70과 같은 APT 행위자가 악용하는 취약점에 대한 책임감 있는 공개가 여러 가지 이유로 중요하다고 지적했습니다.
Recorded Future의 Insikt Group의 위협 인텔리전스 분석가는 이메일을 통해 이 접근 방식을 통해 다른 사람이 취약점을 발견하고 남용하기 전에 신속하게 취약점을 패치하고 수정하며 정교한 공격자의 악용을 억제하여 더 광범위하고 빠른 피해를 방지할 수 있다고 설명했습니다.
“궁극적으로 이 접근 방식은 즉각적인 위험을 해결하고 글로벌 사이버 보안 관행의 장기적인 개선을 장려합니다.”라고 분석가는 설명했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
