고통스러운 세르펜스 공격 탐지: 이란 지원 해커, 이스라엘 기술 회사와 교육 기관 표적

국가 주체 행위자들이 제기하는 위협은 APT 집단에 의해 채택된 새로운 정교한 공격 방법과 잠행 및 운영 보안 쪽으로의 대대적인 전환에 따라 지속적으로 증가하고 있습니다. 최근 보안 연구원들은 이란과 관련된 해커 그룹에 의해 이스라엘 조직을 대상으로 한 파괴적인 캠페인을 공개했습니다. Agonizing Serpens(일명 Agrius, BlackShadow)의 이 공격 작전의 주요 목적은 표적 기관으로부터 개인 식별 정보(PII)와 지적 재산을 추출하고 와이퍼 악성코드를 배포하는 것이었습니다.

Agonizing Serpens 공격 탐지

악성 분야의 비교적 새로운 행위자인 이란과 관련된 Agonizing Serpens APT는 2020년 이후 여러 악성 캠페인을 시작하며 중동 지역에 집중하고 있습니다.

보안 전문가들이 Agonizing Serpens 공격을 신속히 감지할 수 있도록 SOC Prime Platform은 집합적 사이버 방어를 위해 광범위한 CTI 및 메타데이터가 포함된 큐레이션된 감지 알고리즘 세트를 통합합니다. 모든 규칙은 28개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며, 위협 조사를 간소화하기 위해 MITRE ATT&CK에 매핑되어 있습니다. 아래의 탐지 탐색 버튼을 클릭하여 전용 콘텐츠 세트를 확인하세요.

탐지 탐색

또한 사이버 수비수는 SOC Prime의 Uncoder AI 를 활용하여 Palo Alto Networks Unit 42의 조사 에서 제공하는 관련 IOC를 사냥할 수 있습니다.

Agonizing Serpens 공격 분석

Agonizing Serpens 집단은 2020년 이후부터 중동 지역의 엔티티를 지속적으로 공격하고 있으며, 데이터와이핑 악성코드를 주요 무기로 사용하고 있습니다. 이 그룹은 이스라엘과 아랍에미리트 연방을 대상으로 한 작전에서 사용된 악성코드 ‘아포스틀(Apostle)’ 와이퍼로 주목받았습니다. ‘아포스틀’은 원래 랜섬웨어로 위장하여 피해자의 데이터를 은밀히 파괴했지만, 시간이 지나면서 실제 랜섬웨어 스트레인으로 전환되었습니다. 이후, 그룹은 ‘판타지(Fantasy)’ 와이퍼로 전환하여 이스라엘과 남아프리카를 대상으로 공격 작전을 지속했습니다.

Palo Alto Networks Unit42의 최근 조사에 따르면, Agonizing Serpens는 이스라엘 기업을 대상으로 한 2023년 1월부터 10월까지 지속된 최신 캠페인에서 ‘멀티레이어(MultiLaer)’, ‘부분워셔(PartialWasher)’, ‘BFG’라는 세 가지 새로운 와이퍼를 활용했습니다. 데이터 파괴 단계로 전환하기 전에, 위협 행위자는 Sqlextractor 도구를 사용하여 표적 데이터베이스 서버에서 민감한 세부 정보를 탈취했으며, 이는 특히 PII 및 지적 재산 세부정보에 대한 검색을 실시했습니다. 이후 도난당한 정보, 여권, 이메일 자격증명, 주소 등의 정보가 피해자의 평판을 손상시키기 위해 소셜 미디어와 텔레그램 메신저를 통해 공유되었습니다.
특히, 해커들은 외부에 노출된 인터넷 접속 서버를 무기화하여 표적 인스턴스에 접근한 후, 웹 셸 전개와 정찰 활동을 통해 로그인 정보를 탈취하고 관리자 권한을 얻었습니다. 연구원에 따르면, 데이터 와이퍼는 침입의 흔적을 가리고 평판 피해를 더하기 위해 사용되었습니다.

국가 지원 APT 그룹에 의한 사이버 공격의 증가하는 볼륨과 그 정교함의 증가는 사이버 수비자들에게 매우 신속한 대응을 요구합니다. APT, 악성코드 및 모든 규모의 새로운 공격에 대한 최신 탐지 알고리즘에 접근하여 어떠한 공격 캠페인보다 앞서가십시오. 위협 탐지 마켓플레이스 에서.