Cadet Blizzard’s Activity Detection: Novel russia-Linked Nation-Backed Threat Actor Tracked as DEV-0586 Comes to the Scene

러시아가 우크라이나를 전면 침공한 이후, 러시아는 우크라이나와 그 동맹국들을 대상으로 여러 차례의 사이버 공격을 감행했으며, 국영 후원의 해킹 단체들이 사이버 위협 분야에 등장하고 재등장하고 있습니다. 분쟁 기간 동안 러시아의 공격 세력은 다양한 수준의 정교함과 영향을 가진 2,100건 이상의 공격을 감행했으며, 이는 광범위한 적대자 도구를 실험하고 다양한 TTP를 활용하는 것으로, 사이버 수비수에게는 초급의 응답성이 요구됩니다. 사이버 보안 연구원들은 최근 ‘Cadet Blizzard’라는 이름으로 추적된 러시아의 새로운 국가 후원 해킹 그룹 DEV-0586의 악의적 활동을 밝혀냈으며, 이는 파괴적인 공격에 이용된 것으로 알려진 WhisperGate 멀웨어.

Cadet Blizzard aka DEV-0586 악성 활동 탐지 

우크라이나는 점점 더 러시아 국가 행위자들이 사용하는 새로운 TTP의 시험장이 되어가고 있으며, 이는 전 세계적으로 공격을 확대하려는 악의적 상대를 위한 사이버 전선 역할을 하고 있습니다. CERT-UA 및 SSSCIP와 직접 협력하여, SOC Prime 팀은 SOC Prime의 플랫폼을 통해 관련 탐지 알고리즘을 집계하고 전 세계적 협력을 장려하며 실제 전장에서 Sigma 규칙을 연구, 개발 및 테스트합니다.

새로운 Cadet Blizzard APT는 최근 전 세계 보안 연구원들의 주목을 받고 있지만, 이 그룹은 CERT-UA에 의해 UAC-0056으로 추적된 악의적 행위자와 많은 공통점을 가지고 있습니다. 이 해킹 집단은 2022-2023 년 동안 우크라이나 인프라를 지속적으로 공격해왔습니다. 

Cadet Blizzard의 TTPs에 대응하는 큐레이팅된 탐지 콘텐츠를 제공하기 위해, SOC Prime 플랫폼은 가능한 침입에 대항하는 능동적인 사이버 방어를 가능하게 하는 전용 Sigma 규칙 세트와 고급 도구를 제공합니다. 모든 규칙은 25개 이상의 SIEM, EDR, XDR 솔루션과 호환되며 MITRE ATT&CK® 프레임워크 v12에 매핑되어 보안 전문가들이 조사 및 위협 사냥 작업을 간소화하는 데 도움을 줍니다.

아래의 탐지 탐색 버튼을 눌러 즉시 Cadet Blizzard 공격 탐지를 목표로 한 Sigma 규칙 번들을 자세히 살펴볼 수 있습니다. 모든 규칙에는 ATT&CK 및 CTI 참조를 포함한 광범위한 메타데이터가 포함되어 있습니다. 콘텐츠 검색을 간소화하기 위해 SOC Prime은 그룹 식별자에 기반하여 ‘Cadet Blizzard’ 및 ‘DEV’0586’ 태그로 필터링하는 것을 지원합니다.

탐지 탐색

Cadet Blizzard란 누구인가요?

2023년 6월 14일, Microsoft의 위협 정보 팀은 보고서를 발행하여 Cadet Blizzard 또는 DEV-0586으로 식별된 새로운 러시아 국가 후원 해킹 집단의 활동을 다루었습니다. 연구원들은 지난 1년 동안 그룹의 악의적 활동을 분석하여 그들의 공격 능력과 TTPs에 대한 통찰력을 제공하였습니다. Cadet Blizzard는 러시아 GRU가 후원하는 위협 그룹이며, GRU와 같은 Forest Blizzard (STRONTIUM), Seashell Blizzard (IRIDIUM)와 같은 유사한 해킹 집단과 연결됩니다. 그러나 이러한 유사점과는 무관하게, Cadet Blizzard는 우크라이나에 대한 파괴적 사이버 공격의 배후일 가능성이 높은 GRU 제휴의 독립적인 해킹 그룹으로 간주될 수 있습니다. Cadet Blizzard 위협 행위자들은 WhisperGate 파괴적 데이터 삭제 멀웨어의 배포와 연결된 것으로 보입니다, 이는 러시아의 본격적인 침공 직전인 한 달 전, 우크라이나 국가 기관의 IT 인프라에 영향을 미쳤습니다. 

2023년 2월 말, CERT-UA 연구원들은, DEV-0586 위협 행위자가 UAC-0056으로도 추적되는계속되는 악의적 활동에 대해 사이버 수비수들에게 경고를 발령했습니다. 이에 이어, CISA는 경고를 발행 하여 사이버 위협 분야에서 공격자의 공격 작업과 관련된 증가하는 위협에 대응하여 사이버 보안 인식을 높이고 사이버 경계를 강화하려는 목적을 가졌습니다. 

Microsoft의 연구에 따르면, Cadet Blizzard의 파괴적 활동은 주로 GRU가 주도하는 사이버 첩보 캠페인과 정보 수집에 집중하며 2020년부터 시작됩니다. 이러한 캠페인에는 우크라이나 IT 제공업체와 국가 기관이 주요 목표가 되었고, EU, 중앙 아시아 및 남미의 조직 또한 주목되었습니다. Cadet Blizzard는 영향을 받은 네트워크에 발판을 마련하고 공격 단계 전에 사용자로부터 데이터를 탈취하는 것으로 알려져 있습니다. 예를 들어, 2023년 2월에 정부 웹사이트를 마비시키려는 공격에서 위협 행위자들은 악의적 캠페인 전에 심어진 백도어를 활용했습니다. GRU와의 확립된 연결 외에도 Microsoft 연구원들은 최소 하나의 러시아 민간 부문 조직이 WhisperGate 캠페인을 포함하여 Cadet Blizzard의 악의적 작업을 재정적으로 지원했다고 믿고 있습니다.

러시아가 우크라이나를 전면 침공하기 전, DEV-0586 위협 행위자는 2021년 봄 중반에 동유럽 정부 기관 및 기술 조직을 대상으로 공격을 시작했고 점차적으로 공격 범위를 확대했습니다.

Cadet Blizzard의 악성 도구 세트는 상당히 광범위하며, 생활 자원 활용 기술, Confluence & Exchange 서버 취약점 악용, ProxyShell 악용, 웹쉘과 같은 다양한 지속성 메커니즘, 익스플로잇 키트, 커스텀 및 상용 멀웨어 샘플을 결합하고 있습니다. 일반적으로 사이버 첩보를 수행하기 위해 레이더 아래로 감춰지기를 선호하는 대부분의 러시아 국가 행위자들과는 달리, Cadet Blizzard는 대중의 반향을 일으키기 위한 순전히 파괴적인 작업들을 시작하여 관심 대상에게 신호를 보내고 있습니다. 적대자들은 또한 포렌식 방지 기법을 활용하는데, 예를 들어 Microsoft Defender Antivirus를 비활성화할 수 있는 악성 샘플을 적용하여 그룹의 활동 탐지에 도전이 될 수 있습니다.

Cadet Blizzard의 악의적 활동과 관련된 위협을 완화하기 위해, 사이버 방어자들은 MFA 및 클라우드 제공 보호를 활성화하고 가능한 시스템 손상을 방지하기 위해 원격 액세스 인프라에 대한 모든 인증 활동을 확인하며 사이버 위생을 개선하기 위해 업계 최고의 관행을 따르기를 권장합니다.

SOC Prime에 의존하여 현재 진행 중인 사이버 공격에서 사용된 모든 취약 CVE나 TTP에 대한 탐지 콘텐츠를 완벽하게 갖출 수 있습니다. 보안 뉴스의 가장 빠른 피드, 맞춤형 위협 정보, 지속적으로 새로운 탐지 아이디어로 풍부해지는 10,000개 이상의 Sigma 규칙으로 큐레이팅된 가장 큰 저장소에 액세스하세요. 증강 지능 및 집단 산업 전문 지식을 활용하여 보안 팀원에게 고급 탐지 엔지니어링을 위한 궁극의 도구를 제공합니다. 데이터 클라우드로 이동하지 않고 조직별 로그를 기반으로 완전한 위협 가시성을 보장하기 위해 즉시 블라인드 스팟을 식별하고 적시에 해결하세요. SOC Prime 플랫폼에 등록하여 보안 팀에 내일의 보안을 위한 최고의 도구를 제공합니다.