얼마 전, 이란 APT 그룹 중 하나인 CharmingKitten(aka APT35)의 새로운 악성코드인 BellaCPP가 발견되었다. 해당 악성코드는 C++로 작성된 Bellaciao의 새로운 종류로 보여진다.
BellaCPP, Charming Kitten's BellaCiao variant written in C++
Iran-linked APT group Charming Kitten has been observed using a new variant of the BellaCiao malware dubbed BellaCPP, Kaspersky warns.
securityaffairs.com
해당 이벤트와 관련해 MISP 서버에 잡힌 상관관계가 존재한다. 상관관계는 Sofacy(aka APT28) 그룹이 수행한 공격 중 사용된 도메인에서 나타났다.
Sofacy 그룹이 공격에 사용한 도메인들이 정리된 이벤트에 포함된 도메인 중 하나가 해당 공격에서 사용된 것으로 나타났다. 해당 도메인은 systemupdate[.]info 이며 BellaCPP 악성코드에서는 생성하는 도메인 값 중 일부로 사용되었다.
* BellaCPP 생성 도메인 규칙: <5자리랜덤문자><대상 식별자>.<나라 코드>.systemupdate[.]info
반응형
'Analysis' 카테고리의 다른 글
| 99. 한국방위산업학회 위장 공격 이메일 (0) | 2025.01.16 |
|---|---|
| 98. Kimsuky's RFA_질문지 및 자유아시아방송 인터뷰 질의서 (0) | 2024.12.30 |
| 96. nj.exe(Quasar RAT) (0) | 2024.12.18 |
| 95. DDoSia (1) | 2024.12.16 |
| 94. Lazarus's Beavertail 3 (Python) (0) | 2024.12.05 |
