Andariel 공격 탐지: FBA, CISA 및 파트너들이 북한 국가 지원 그룹과 관련된 글로벌 사이버 스파이 캠페인의 증가를 경고
목차:
FBI, CISA 및 주요 사이버 보안 당국이 국가 지원 해킹 그룹으로 추적된 북한의 사이버 간첩 작전의 증가에 대해 경고를 발령했습니다. 안다리엘그룹의 사이버 간첩 활동은 중요한 데이터와 지적 재산의 수집을 포함하며, 이를 통해 정권의 군사 및 핵 목표와 포부를 진전시키고 있습니다.
CISA AA24-207A 자문 문서에 설명된 안다리엘 공격 탐지
세계적으로 지정학적 긴장이 고조됨에 따라 국가 지원 해킹 집단이 최근 몇 년 동안 증가하고 있습니다. 이 추세는 공격자의 도구의 범위와 정교함이 증가하여 사이버 방어자에게 증가하는 위협을 입히고 있습니다. 북한의 APT 그룹은 2024년 1분기에 중국, 이란, 러시아 행위자와 함께 가장 활발한 집단 중 하나입니다.
가장 최근의 사이버 간첩 활동은 AA24-207A CISA 자문 문서 를 다루며, 사이버 보안 실무자가 현재 안다리엘(별칭 Onyx Sleet)이 전 세계적으로 방위, 핵, 공학 자산에 대한 민감한 정보를 추적하고 있는 것에 대한 방어를 강화할 것을 촉구합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위해 관련 악의적 활동을 식별하기 위한 전용 Sigma 규칙 모음과 위협 탐지 및 탐색 솔루션을 제공하여 위협 조사를 부드럽게 할 수 있습니다.
아래에 있는 탐지 탐색 버튼을 눌러 맞춤형 탐지 스택으로 즉시 드릴다운하여 안다리엘 APT의 최신 사이버 간첩 캠페인을 발견하십시오. 모든 규칙은 30개 이상의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크. Additionally, rules are enriched with extensive metadata, including 위협 인텔 참조, 공격 타임라인 및 권장 사항을 포함한 광범위한 메타데이터로 풍부하게 제공됩니다.
안다리엘의 TTP를 해결하기 위한 더 많은 규칙을 찾는 사이버 방어자는 위협 탐지 마켓플레이스 에서 사용자 정의 ‘안다리엘’ 태그를 검색하거나 단순히 이 링크 를 따라가 그룹의 악의적 활동과 관련된 더 넓은 규칙 모음을 액세스 할 수 있습니다.
AA24-207A 경고에 다루어진 북한의 글로벌 사이버 간첩 공격 분석
2024년 7월 25일, FBI, CISA 및 저술 파트너들은 새로운 공동 사이버 보안 자문 문서를 발행하여 AA24-207A 를 통해 북한의 국가 지원 그룹의 사이버 간첩 활동 증가에 관한 위협을 알렸습니다. 안다리엘 별칭 Onyx Sleet(PLUTONIUM, DarkSeoul, Stonefly/Clasiopa)로 알려진 이 그룹은 주로 세계적으로 방위, 항공우주, 핵 및 공학 기관을 목표로 민감한 기술 정보를 수집하며, 정권의 군사 및 핵 프로그램과 목표를 진전시킵니다. 이 그룹은 최소 2009년부터 사이버 위협 분야에서 활동했으며, 미국과 한국 조직에 대한 파괴적 공격을 수행하다가 지금은 목표로 한 사이버 간첩 및 랜섬웨어 작전에 참여하는 것으로 진화한 것으로 믿어집니다. 방어자들은 이 그룹의 지속적인 사이버 간첩 활동을 다양한 글로벌 산업 부문에 대한 지속적인 위협으로 간주합니다. 또한, 조선민주주의인민공화국(DPRK)의 RGB 3대 지국과 연계된 공격자들은 미국 의료 조직에 대한 랜섬웨어 공격을 통해 공격 작전을 자금 조달합니다.
안다리엘 행위자는 Log4Shell 취약점을 포함한 알려진 결함을 무기로 사용하여 웹 셸을 배포하고 민감한 정보 및 애플리케이션에 접근합니다. 그들은 표준 시스템 탐색 및 나열 기술을 사용하여 일정 작업을 통해 지속성을 확립하고, Mimikatz와 같은 도구로 권한을 상승시킵니다. 적대자는 사용자 정의 악성 소프트웨어 임플란트, RAT 및 오픈 소스 도구를 배포하여 실행, 측면 이동 및 데이터 유출을 수행합니다. 안다리엘이 사용하는 사용자 정의 도구와 악성 소프트웨어는 임의 명령을 실행하고, 키로깅을 하고, 스크린샷을 찍고, 파일 및 디렉토리를 나열하고, 브라우저 기록을 훔치고, C2 노드에 콘텐츠를 업로드하는 등의 정교한 기능을 갖추고 있어 적대자가 침입된 시스템에 접근을 유지할 수 있게 하며, 각 임플란트에는 특정 C2 노드가 할당됩니다.
적대자는 시스템에서 네이티브 도구 및 프로세스를 사용하는 것을 잘 알고 있으며, 이는 LOTL로 알려진 전술입니다. 그들은 Windows 명령 라인, PowerShell, WMIC 및 Linux bash를 활용하여 시스템, 네트워크 및 계정을 나열합니다. 또한, 안다리엘은 LNK 파일이나 HTA 스크립트 파일과 같은 악성 첨부 파일을 사용하여 피싱 캠페인을 진행하며, 이는 종종 ZIP 아카이브 내부에 들어갑니다.
그들은 또한 3Proxy, PLINK, Stunnel과 같은 터널링 도구와 사용자 정의 프록시 터널링 유틸리티를 사용하여 네트워크 내에서 C2 서버로 다양한 프로토콜을 통해 트래픽을 라우팅합니다. 이 터널링은 네트워크 구성이 보통 제한적인 경우에도 해커들이 C2 작업을 수행할 수 있도록 합니다.
데이터 유출에 관해서는, 안다리엘은 종종 클라우드 스토리지 또는 주요 C2와 분리된 서버를 활용합니다. 그들은 피해자 네트워크에서 직접 클라우드 스토리지 계정에 로그인하고, 푸티(PuTTY)와 WinSCP와 같은 도구를 사용하여 FTP 및 기타 프로토콜을 통해 데이터를 북한이 통제하는 서버로 전송하는 것이 관찰되었습니다. 또한, 그들은 감염된 기계에 데이터 유출을 위해 파일을 점검합니다.
핵심 인프라 조직은 북한의 국가 지원 사이버 간첩 공격에 대비하여 경계를 유지할 것이 강력히 권장됩니다. 안다리엘의 증가하는 악성 활동의 위험을 완화하기 위해, 방어자들은 전 세계 조직들이 알려진 취약점에 대한 패치를 신속히 적용하고, 웹 셸로부터 웹 서버를 보호하며, 엔드포인트에서 악의적 활동을 모니터링하며, 인증 및 원격 액세스 보호를 강화할 것을 권고합니다.
악명 높은 북한의 국가 지원 그룹인 안다리엘에 기인한 지속적인 사이버 간첩 공격은 전 세계적으로 중요한 인프라 조직을 점점 더 위협하고 있습니다. 보안 팀이 잠재적 침입을 신속히 식별하고 데이터 유출 위험을 최소화하기 위해서는 SOC Prime의 완전한 제품군 을 활용하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 유효성 검사 기능을 제공받고, 조직을 위한 통합된 사이버 방어 솔루션을 갖추십시오.
