APT40 공격 탐지: 중국 정부 지원 해커가 사이버 스파이 목적으로 새로 드러난 취약점을 신속히 악용
목차:
호주, 미국, 캐나다, 독일, 영국, 뉴질랜드, 한국, 일본 내 법 집행 기관이 발행한 최신 권고는 증가하는 위협에 대해 경고합니다 APT40 베이징의 국가 안전부(MSS)를 대신하여 운영됩니다. 특정적으로, 이 자문은 신속하게 적응하고 새로운 취약점에 대한 PoC(Proof-of-Concept) 익스플로잇을 배포하여 관심 있는 네트워크를 모니터링하고 패치되지 않은 시스템을 목표로 하는 중국 국가 후원 그룹의 활동을 세부적으로 설명합니다.
새롭게 발견된 취약점 이용한 APT40 공격 탐지
2024년 1분기 동안 중국, 북한, 이란, 러시아를 포함한 다양한 지역의 APT 그룹들은 크게 향상되고 독창적인 공격 기술을 보여 글로벌 사이버 보안 환경에 심각한 도전을 제기했습니다. 최근 몇 년간 지정학적 긴장이 급격하게 고조되면서 APT 위협은 사이버 수비수들에게 주요 위협 중 하나가 되었습니다.
사이버 보안 기관의 최신 공동 권고는 전 세계 여러 정부 및 비즈니스 네트워크를 목표로 하고 호주 및 미국의 민간 및 공공 부문에 특별히 관심을 두고 있는 중국 후원 APT40 그룹으로부터의 증가하는 위협에 대해 경고합니다. 잠재적 공격을 사전에 식별하고 저항하기 위해, 사이버 수비수들은 고급 위협 탐지 및 사냥 도구가 필요합니다.
단체 사이버 방어를 위한 SOC Prime 플랫폼은 모든 보안 팀에 24시간 SLA 하에 릴리스된 최신 위협에 대한 최상의 솔루션과 큐레이트된 탐지 콘텐츠를 제공하는 것을 목표로 합니다. APT40 공격을 대비하기 위해 보안 전문가들은 CISA의 AA24-190A 권고에 설명된 TTPs를 다루는 일련의 탐지 규칙들을 활용할 수 있습니다.
그냥 아래의 탐지 항목 탐색 버튼을 누르면 CISA가 분석한 최신 APT40 캠페인과 관련된 특정 Sigma 규칙 목록으로 바로 탐색할 수 있습니다. 모든 규칙은 30개 이상의 SIEM, EDR, 데이터 레이크 플랫폼과 호환되며 MITRE ATT&CK 프레임워크에 매핑됩니다. 추가적으로 모든 규칙은 광범위한 메타데이터, 위협 인텔리전스 세부 정보, 공격 타임라인, 위협 조사 개선 권장사항들로 풍부하게 보강됩니다.
APT40 해커들은 사용자 상호작용에 의존하는 TTP보다 노출된 외부 인프라를 악용하는 경향이 있어 최신 CVE에 대한 PoC 익스플로잇을 적응시키는 것이 관심 네트워크에 초기 발판을 얻는 가장 빈번한 방법 중 하나입니다. 아래 목록을 확인하여 중국 APT 행위자에 의해 무기화된 유명한 CVE들 및 관련 탐지 규칙에 대해 알아보십시오:
Log4J
Atlassian Confluence 취약점
CVE-2021-31207에 대한 탐지 규칙
CVE-2021-26084에 대한 탐지 규칙
Microsoft Exchange 취약점
APT40의 활동을 과거부터 분석하고 그룹에 의해 활용된 TTP에 대응하기 위해 추가적인 탐지 콘텐츠를 찾고 있는 사이버 보안 전문가들은 SOC Prime 팀이 큐레이트한 전용 규칙 세트를 탐색할 수 있습니다. 그냥 ‘APT40’ 태그를 사용하여 위협 탐지 마켓플레이스를 검색하거나 이 링크를 사용하여 APT40 규칙 컬렉션에 직접 액세스하십시오.
파일, 호스트 또는 네트워크 IOCs를 찾기 위한 검색을 간소화하기 위해 AA24-190A 권고 CISA에 의해, 보안 엔지니어들은 SOC Prime의 Uncoder AI 의 내장된 IOC 패키저를 사용할 수 있습니다. 이는 CTI 세부 정보를 맞춤 IOC 쿼리로 자동 변환하여 선호하는 SIEM 또는 EDR 형식에 즉시 호환되도록 합니다.
중국 국가 후원 행위자들이 현재 전 세계적으로 가장 활발한 해킹 집단 중 하나이기 때문에, 조직들은 아마도 좀 더 넓은 타당성 있는 전술, 기술, 절차에 대한 탐지 스택.
APT40 공격 분석
최신 공동 사이버 보안 권고는 호주 사이버 보안 센터(ACSC)가 주도하여 APT40으로 추적되는 중화인민공화국(PRC) 국가 대표 그룹의 활동을 조명했습니다. 적대적인 집단은 Bronze Mohawk, Gingham Typhoon(이전의 Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423, TEMP.Periscope 등으로도 지칭되며, 최소 2013년부터 아시아 태평양 지역의 엔티티에 대한 사이버 공격을 수행하고 있습니다.
2022년, ACSC는 확인되지 않은 지역 조직에 대한 APT40 공격을 알게 되었습니다. 피해자의 동의하에, ACSC는 호스트 기반 센서에서 수집된 데이터를 토대로 APT40의 활동으로 추적되는 사건을 조사했습니다. 또한, 2024년 3월, 뉴질랜드 정부는 2021년 국회의원 고문실 및 국회 서비스 침해와 관련된 APT40 해커들을 연루시킨 바 있습니다.
APT40의 전용 권고에서 반영된 추가 분석에 따르면, 사이버 보안 전문가들은 이 해킹 집단이 주로 손상 가능한 잠재적 목표를 식별하기 위해 네트워크에 대한 정보 수집 활동을 목표로 한다고 말합니다. 이러한 지속적인 감시는 그룹이 해당 네트워크의 취약한, 오래된, 또는 유지 관리가 되지 않는 장치를 발견하고 신속하게 익스플로잇을 배포할 수 있게 합니다.
APT40는 피싱 캠페인과 같은 사용자 상호작용이 요구되는 방법보다 취약한 외부 인프라를 목표로 하는 것을 선호하며, 후속 활동을 용이하게 하기 위한 유효한 자격 증명을 획득하는 것을 우선시하는 것으로 보입니다. 특히, APT40는 새로운 보안 결함에 대한 익스플로잇을 신속하게 수정하고 배포하는 데 능숙한 것으로 보이며, 패치되지 않은 시스템을 발견하기 위해 네트워크를 적극적으로 감시합니다. 특히 이 권고는 해커들이 주목받는 시스템을 목표로 Log4j, Atlassian Confluence, Microsoft Exchange와 같은 인기 소프트웨어의 익스플로잇을 빠르게 활용한 사례를 적시합니다.
APT40의 전술에 대한 추가 분석에는 적대자들이 침입 초기 단계에서 지속성을 위해 웹 셸을 사용하는 것이 포함됩니다. 초기 발판을 얻은 후, 이 그룹은 악성 트래픽을 채널링하고 레이더 아래에서 이동하기 위해 SOHO 라우터와 같은 오래된 장치에 의존하는 경향이 있습니다. 이후 공격 체인은 자격 증명 캡처 및 귀중한 데이터 덤프를 위해 RDP를 활용하면서 정보 수집, 권한 상승, 횡적 이동 활동을 포함합니다.
이러한 침입에 대응하기 위해, 보안 전문가들은 포괄적인 로깅 솔루션 배포, 다단계 인증(MFA) 강제, 엄격한 패치 관리 프로토콜 수립, 오래된 장비 업그레이드, 불필요한 서비스, 포트 및 프로토콜 비활성화, 네트워크분할을 통한 민감한 정보 보호 등을 권장합니다. 최신 위협에 미리 대비하고 조직의 사이버 보안 자세를 미리 확보하기 위해 AI 기반 탐지 엔지니어링, 자동 위협 사냥, 탐지 스택 검증을 위한 SOC Prime의 전체 제품군 을 활용하십시오.
