얼마 전, Head Mare 범죄 그룹과 관련된 기사들이 보도되었다.
https://securityaffairs.com/168030/hacktivism/head-mare-hacktivist-group-winrar.html
Head Mare hacktivist group targets Russia and Belarus
A group of hacktivist known as Head Mare took advantage of the recent CVE-2023-38831 WinRAR flaw in attacks against orgs in Russia and Belarus
securityaffairs.com
https://securelist.com/head-mare-hacktivists/113555/
Head Mare hacktivists: attacks on companies in Russia and Belarus
Analysis of the hacktivist group Head Mare targeting companies in Russia and Belarus: exploitation of WinRAR vulnerability, custom tools PhantomDL and PhantomCore.
securelist.com
해당 그룹은 2023년 12월부터 활동한 핵티비스트 그룹이다. x(구 twitter)의 계정도 존재한다.
해당 그룹은 lockbit 랜섬웨어 등을 유포한 것으로 보여지는데, 이번 공격에 사용된 도구들 중 특이점이 존재한다.
개인적으로 운영중인 MISP 서버에 잡힌 IoC 중 하나의 도구가 Kimsuky 그룹이 사용했던 Mimikatz 와 동일한 파일인 것으로 나타났다.
Kimsuky 그룹과 Head Mare 핵티비스트 그룹이 같은 Mimikatz를 사용한 것에는 두 그룹의 직접적 연관성보다는 Head Mare 그룹이 이전 Kimsuky 그룹이 사용했던 Mimikatz를 다양한 경로를 통해 획득해 사용했을 확률이 높아보인다. 다만, 해당 그룹의 이번 공격이 러시아, 벨라루스를 대상으로 하고 있다는 점으로 보면 Kimsuky 그룹과의 직접적인 연관성도 배제할 수는 없어보인다. (두 국가 간 최근 밀접한 연결성이 대두되는 동시에 서로의 정보를 탈취하려는 시도가 계속해서 있는 것으로 보인다.)
해당 Mimikatz 악성코드는 VirusTotal에서 64개 백신이 탐지하는 중이다. 64개의 백신이 탐지하고 있지만 Head Mare 그룹이 해당 악성코드를 사용한 것도 놀라운 점이다. 보통의 악성코드 유포자들은 백신에 탐지되지 않기 위해 여러 방법을 사용하곤 하는데, 64개의 백신에서 탐지하는 상황임에도 해당 악성코드를 과감히 사용한 것은 놀라운 점으로 보여진다.
Head Mare 그룹의 이번 연관성도 나타내듯이, 서서히 핵티비스트 / APT 그룹들이 사용하는 악성코드 도구들의 탐지 여부와 관련없이 본인들의 공격에 필요하면 과감히 사용하는 것을 볼 수 있다. 또한, 오픈된 악성코드/악성 소스들도 과감히 사용하는 경향이 강해지고 있다. 이러한 점들은 앞으로 악성코드의 유포가 더 활발해질 수 있음을 의미한다고 보여진다.
'Analysis' 카테고리의 다른 글
| 86. UNC2970 correlation with Lazarus (1) | 2024.09.24 |
|---|---|
| 85. Kimsuky's Twitch - Payment Plan.msc (1) | 2024.09.12 |
| 83. Kimsuky's rhfueo)@@) lnk malware (1) | 2024.09.06 |
| 82. misp - maltego 연결 (0) | 2024.09.03 |
| 81. North Korea's Lilith RAT Correlation (0) | 2024.08.25 |
