[KO] Asylum Ambuscade 공격 탐지: 다중 사이버 스파이 및 금전적 동기 사이버 범죄 캠페인에 연루된 해킹 집단

2022년 2월 24일, 약 1년 전, 러시아 연방은 육상, 공중 및 해상을 통해 우크라이나에 대한 공격적 침공을 시작했습니다. 그로 인해 전쟁은 사이버 공간으로 확대되었습니다 그리고 결과적으로 우리는 인류 역사상 최초의 본격적인 사이버 전쟁을 목격하고 있으며, 여러 공격 세력이 우크라이나와 그 동맹국을 공격하는 데 참여하고 있습니다.

대결에 적극적으로 참여하고 있는 것으로 밝혀진 해킹 단체 중 하나는 Asylum Ambuscade입니다. 사이버 범죄 무대에서 비교적 새로운 진입자인 이 해커 그룹은 정부 기관을 대상으로 재정 동기화된 운영과 사이버 첩보 활동을 혼합합니다.

2022년 3월, 보안 전문가들은 Asylum Ambuscade가 정교한 유럽 정부 인력을 대상으로 한 공격 우크라이나 난민을 돕는 유럽 정부 인력을 대상으로 한 공격을 배후에서 진행했음을 식별했습니다. 또한, 중앙 아시아 관리들을 대상으로 한 일련의 공격이 연구자들에 의해 추적되었습니다. 동시에, 이 그룹은 사설 부문에 대한 사이버 범죄 캠페인을 지속적으로 수행하여 재정적 이득을 얻고 있습니다.

Asylum Ambuscade 공격 탐지

다양한 동기를 캠페인에 혼합하면서, Asylum Ambuscade는 2022년 초부터 전 세계적으로 4,500명의 피해자가 확인된 사이버 범죄 무대에서 가장 저명한 해킹 단체 중 하나로 간주되고 있습니다. Asylum Ambuscade의 불법 활동을 능동적으로 탐지하고 조직의 인프라를 보호하기 위해, 사이버 보안 전문가들은 신뢰할 수 있는 큐레이트된 탐지 콘텐츠 소스를 필요로 합니다. SOC Prime의 집단 사이버 방어 플랫폼은 위협 행위자의 TTP를 다루는 풍부한 Sigma 규칙을 집계합니다.

모든 탐지는 25개 이상의 SIEM, EDR 및 XDR 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v12에 매핑되어 보안 전문가들이 조사 및 위협 사냥 작업을 원활하게 할 수 있도록 도와줍니다.

” 탐지 탐색 ” 버튼을 눌러 Asylum Ambuscade 공격 탐지를 목표로 한 Sigma 규칙 번들로 즉시 심층 분석하십시오. 모든 규칙은 ATT&CK 및 CTI 참조를 포함한 풍부한 메타데이터와 함께 제공됩니다. 콘텐츠 검색을 단순화하기 위해 SOC Prime은 “Asylum Ambuscade” 및 “SunSeed” 태그로 필터링을 지원합니다. 이는 유럽 공무원을 목표로 한 사이버첩보 캠페인 중에 공격자들이 심어 놓은 맞춤형 악성 코드의 이름과 그룹의 별명을 기반으로 한 것입니다.

탐지 탐색

Asylum Ambuscade의 사이버 범죄 및 첩보 캠페인 개요

2020년부터 활동해 온 Asylum Ambuscade는 2022년 3월까지 레이더에 탐지되지 않았으며, 그때 Proofpoint가 문서화한 유럽 공공 부문 기관을 대상으로 한 국가 지원 사이버 첩보 캠페인이 밝혀졌습니다. 이 발견은 그룹을 UNC1151 (UAC-0051)로 추적하는 CERT-UA의 경고에 기반한 것이었습니다. 이 공격 중, 위협 행위자들은 우크라이나 군인 이메일 계정을 손상시켜 피싱 공격을 시작했으며 그 결과 SunSeed 악성코드가 전달되었습니다. 전문가에 따르면, 이번 악의적인 캠페인은 민감한 정보를 추출하고 공식 정부 자원에서 이메일 인증 정보를 덤핑하는 것을 목표로 했습니다..

During this attack, threat actors supposedly compromised an email account of the Ukrainian armed service member to launch a phishing attack which resulted in SunSeed malware delivery. According to the experts, this malicious campaign aimed to extract sensitive information and dump email creds from official government resources. 

사이버 첩보 캠페인이 처음 주목을 받은 동안, Asylum Ambuscade 또한 재정적 이익을 얻기 위해 초점을 맞춘 일련의 사이버 범죄 운영에 관여해왔습니다. ESET 조사는 이 해커 단체가 2022년 1월 이후로 4,500개 이상의 개인 조직을 대상으로 했으며, 여기에는 암호화폐 거래자, 중소기업(SMB), 금융 기관 및 개인이 포함된다고 밝힙니다. 특히, 대부분의 피해자는 북미에 위치해 있었지만, 연구원들은 아시아, 아프리카 및 유럽의 공격 대상도 관찰했습니다.

암호화폐 거래자를 공격하려는 동기는 명백해 보이며 – 암호화폐 절도 – SMB를 대상으로 하는 동기는 여전히 의문입니다. 보안 전문가는 Asylum Ambuscade 사이버 범죄자들이 랜섬웨어 운영자에게 접근을 판매하거나 첩보 활동을 진행하기 위해 이를 사용할 것으로 의심합니다.

Asylum Ambuscade의 사이버 첩보 및 사이버 범죄 운영은 유사한 공격 킬 체인을 따릅니다. 공격은 여러 번의 리다이렉션을 거쳐 JavaScript 파일로 이어지는 악성 Google 광고 또는 악성 첨부 파일이 있는 피싱 이메일로 시작되며, 이 첨부 파일은 악성코드 다운로더를 떨어트립니다. 궁극적으로 두 루틴 모두 SunSeed 또는 Ahkbot 악성코드 감염으로 끝납니다. 사이버 보안 연구원의 레이더에 발견되지 않기 위해, Asylum Ambuscade 해커들은 Lua, Tc, Visual Basic으로 작성된 SunSeed 다운로더의 다양한 변종을 사용합니다. Ahkbot 감염에는 AutoHotkey 또는 Node.js 도구인 NodeBot이 사용됩니다.

국가 지원 행위자 및 사이버 범죄 그룹에 전형적인 TTP를 결합하여, Asylum Ambuscade는 전 세계 공공 및 민간 조직에 심각한 위협을 가합니다. SOC Prime을 신뢰하여 지속적으로 새로운 탐지 아이디어로 강화된 10,000개 이상의 Sigma 규칙을 갖춘 가장 큰 큐레이트된 저장소 및 세계에서 가장 빠른 보안 뉴스 피드를 액세스하고, 맞춤형 위협 인텔리전스를 접하십시오. 첨단 탐지 엔지니어링을 위한 궁극의 도구로 보안 팀 구성원을 모두를 장비하십시오. 개별 조직 로그를 기반으로 데이터를 클라우드로 이동하지 않고 위협 가시성을 보장하기 위해 블라인드 스팟을 식별하고 적시에 대응하십시오. 지금 SOC Prime 플랫폼 에 등록하여 보안 팀에 미래를 안전하게 하기 위한 최고의 도구를 제공하십시오.