APT35, ProxyShell 취약점을 사용하여 다중 WebShell 배포

지난 몇 달 동안 연구자들은 새로운 이란 국영 APT35 공격의 폭발적인 증가를 관찰했습니다. 새로운 연구 에 따르면 APT35(다른 이름: TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) 가 Microsoft를 점점 더 많이 악용해 오고 있습니다 Exchange ProxyShell 취약점 를 초기 접근에 사용하고, 피해자 네트워크에 접근한 후 여러 다양한 공격 벡터를 활용하고 있습니다.

Scroll down을 눌러 SOC 팀이 ProxyShell 공격 중 및 후에 APT35의 최신 활동을 식별하는 데 도움을 줄 최신 탐지 규칙을 확인하세요.

APT35 공격 탐지 ProxyShell 관련

APT35는 초기 접근 캠페인 후 Microsoft Exchange ProxyShell 취약점을 단순히 악용하는 데 그치지 않습니다. 우리 Threat Bounty 개발자 Furkan Celik, Osman Demir, Nattatorn Chuensangarun, Aytek Aytemur가 작성한 다음 규칙을 확인하여 웹 셸 실행, 위협 행위자의 지속성 및 인증 정보 접근을 포착하세요. 플랫폼 계정에 로그인하여 Sigma 규칙과 20개 이상 벤더별 형식으로의 번역을 쉽고 빠르게 배포하세요.

ProxyShell 공격 후 Webshell 실행으로 인한 가능성 있는 APT35 초기 접근 (ps_script를 통해)

스케줄된 작업 추가로 인한 가능성 있는 APT35 지속성 (cmdline을 통해)

comsvcs.dll로 lsass.exe 메모리 덤핑으로 인한 가능성 있는 APT35 인증 정보 접근 (cmdline을 통해)

Microsoft Exchange Management Snap-in 연결 테스트로 인한 가능성 있는 APT35 실행 (cmdline을 통해)

이 규칙은 MITRE ATT&CK® 프레임워크 v.10의 다음 기술을 다룹니다: 공개 애플리케이션 악용, 스케줄된 작업/잡, 시스템 정보 검색, 인증 정보 접근을 위한 악용, OS 인증 정보 덤핑.

또한, 아래 규칙은 사후 악용 전술이 실행되기 전에 ProxyShell 취약점의 악용을 감지하는 데 도움이 됩니다:

Exchange ProxyShell 패턴

성공적인 Exchange ProxyShell 공격

CVE-2021-34473 Exchange 서버 RCE (Proxyshell)

아래 버튼을 눌러 APT35 전술의 최신 변화와 연관된 최신 탐지 내용을 확인하세요. 추가로 공유하고 싶은 발견 사항이 있는 경우, 자신의 탐지 규칙을 제출하여 크라우드소싱 이니셔티브에 참여하는 것을 권장합니다.

탐지 보기 위협 현상금 참여

ProxyShell 취약점의 악용

ProxyShell 취약점 (CVE-2021-31207,CVE-2021-34523,CVE-2021-34473) 은 Microsoft Exchange에서 원격 코드 실행을 가능하게 합니다. 이들은 Orange Tsai 보안 연구자에 의해 자세히 분석되었으며, 2021년 4월 캐나다 밴쿠버에서 열린 Pwn2Own 해킹 대회에서 처음 공개되었습니다.

최근 APT35 해커들이 악의적인 목적을 달성하기 위해 ProxyShell 악용을 활용하는 것이 목격되었습니다. 특히 연구자들은 APT35가 초기 접근 및 추가 활동을 위해 자동화된 스크립트를 사용하고 있다고 제안합니다. 같은 명령어의 순서와 성질이 짧은 시간 내에 여러 경우에서 반복되었기 때문입니다.

공격 초기 단계에서, 적대자는 웹 셸을 업로드하고 모든 바이러스 백신 소프트웨어를 비활성화합니다. 그 후 두 가지 지속성 방법을 따릅니다: 스케줄된 작업과 새로 생성된 계정. 후자는 로컬 관리자 그룹 및 원격 사용자에 추가됩니다.

그 이후에 공격자는 net 및 ipconfig와 같은 Windows 기본 프로그램을 사용하여 환경을 열거하고, LSA 보호를 비활성화하며, WDigest를 활성화하고, LSASS 프로세스 메모리를 덤핑한 뒤 웹 셸을 통해 결과를 다운로드합니다.

새로운 위협에 앞서 나가기 위해 조직들은 협력적인 방어 접근 방식을 고려하고 있습니다. 가장 우수한 사이버 마인드의 글로벌 커뮤니티에서 제공하는 전문 지식을 활용하려면 등록하세요 SOC Prime의 Detection as Code 플랫폼을 제공하여 SOC 운영을 간소화하고 위협 탐지를 더 빠르고, 쉽게, 효율적으로 만드세요.