Turla는 간첩 활동을 위해 Storm-0156 서버를 탈취했습니다.

Lucia Stazio3주 ago

4 2 minutes read

Read Time:2 Minute, 14 Second

러시아와 연계된 지능형 지속 위협(APT) 그룹 Turla가 정교한 사이버 스파이 활동에 휘말렸습니다. Turla는 파키스탄에 본사를 둔 해킹 그룹 Storm-0156의 명령 및 제어(C2) 서버에 침투했으며, 이 서버는 2022년부터 자체 작전을 수행하는 데 사용되었습니다.

Turla에 대해 보고하는 MSFT와 Lumen에 폭탄이 몇 개 있습니다.

– SideCopy 인프라 채택
– 다른 배우로부터 Tomiris를 빌려 도구를 로드했습니다.
– SideCopy가 주차장에 타겟을 표시하고 있었나요? https://t.co/onyDqDuKEa https://t.co/VIJbgKf4WY pic.twitter.com/1ESos4HG8f

— 그렉 레스니위치(@greglesnewich) 2024년 12월 4일

Lumen Technologies의 일부인 Black Lotus Labs는 2022년 12월에 처음으로 이를 관찰했습니다. 2023년 중반까지 Turla는 Storm-0156과 관련된 여러 C2 서버로 제어를 확장했습니다. Turla는 이러한 서버에 대한 액세스를 사용하여 다양한 아프가니스탄 정부 네트워크에 맞춤형 악성 코드군을 배포했습니다.

Secret Blizzard/Turla로 추적된 FSB의 Center 16은 간첩 작전을 촉진할 목적으로 지난 7년 동안 최소 6명의 다른 위협 행위자의 도구와 인프라를 사용했습니다.https://t.co/GafdxVBTDB

— 루이스 마리 후렐(@LouMarieHSD) 2024년 12월 4일

악성 코드에는 맞춤형 다운로더인 TwoDash와 Windows 클립보드에 저장된 데이터를 기록하는 트로이 목마인 Statuezy가 포함되어 있습니다. Microsoft Threat Intelligence는 Turla가 아프가니스탄과 인도의 사이버 캠페인에서 Storm-0156의 인프라를 사용했음을 확인했습니다. Blue Python, Iron Hunter 및 Venomous Bear라고도 알려진 Turla는 러시아 연방 보안국(FSB)과 제휴되어 있습니다.

러시아의 Turla 해커들은 아프가니스탄과 인도 목표물을 침해한 파키스탄 해커들이 운영하는 명령 서버 33개를 탈취했습니다.https://t.co/TMZWFXWxuy

— 라이언 나라인(@ryanaraine) 2024년 12월 4일

거의 30년 동안 활동해 온 Turla는 정부, 외교, 군사 조직을 표적으로 삼고 있습니다. 이 그룹은 자체 스파이 활동을 위해 다른 위협 행위자의 인프라를 탈취한 전력이 있습니다.

Turla는 Storm-0156 서버를 활용합니다.

Turla의 사이버 스파이 활동: 러시아 해커가 파키스탄 해커 그룹, Target India 및 아프가니스탄에 침투https://t.co/hseU6XSjXt

— 뉴스9(@News9Tweets) 2024년 12월 5일

이전 사례에서 Turla는 이란 APT 및 기타 악성 코드 운영자의 인프라를 활용하여 도구를 배포했습니다. 2023년 1월, Google 소유의 Mandiant는 Turla가 우크라이나의 상용 악성코드 ANDROMEDA의 인프라에 편승했다고 보고했습니다. 2023년 4월 Kaspersky는 Turla가 카자흐스탄 기반 Storm-0473의 도구를 사용하여 QUIETCANARY 백도어를 배포했다는 사실을 공개했습니다.

Storm-0156 C2 서버의 손상으로 Turla는 백도어의 용도를 변경하고 Wainscot이라는 이전에 문서화되지 않은 Golang 임플란트를 배포할 수 있었습니다. Turla는 2024년 3월과 2024년 8월에 Storm-0156에 의해 확립된 Crimson RAT 감염을 사용하여 TwoDash를 배포했습니다. MiniPocket이라는 사용자 정의 다운로더도 피해자 네트워크에서 관찰되었습니다.

크렘린의 지원을 받는 공격자들은 Storm-0156 운영자의 워크스테이션 내에서 측면으로 이동했습니다. 그들은 도구, C2 자격 증명 및 유출된 데이터에 대한 귀중한 정보를 얻었습니다. 이 전략을 통해 Turla는 관심 있는 조직을 직접 표적으로 삼지 않고도 정보를 수집할 수 있습니다.

중요한 데이터를 얻으면서 노력을 최소화합니다. Microsoft는 “다른 위협 행위자의 인프라나 도구를 장악하기 위한 Secret Blizzard의 작전 빈도는 이것이 그들의 전술의 의도적인 구성 요소임을 암시합니다.”라고 지적했습니다.

최신 공격 캠페인은 Turla의 진화하는 위협을 강조하고 정교한 공격자로부터 방어하기 위한 강력한 사이버 보안 조치의 중요성을 강조합니다.

(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)