Sandworm APT에 의해 장기 캠페인에서 해킹된 Centreon 소프트웨어 벤더
목차:
프랑스 국가 정보 시스템 보안국(ANSSI)ANSSI)은 프랑스의 주요 IT 및 웹 호스팅 제공업체를 대상으로 하는 Sandworm APT의 3년간의 작전을 공개했습니다. ANSSI 권고사항 에 따르면 이 캠페인은 2017년에 시작되어 후속 침해 사건의 연속으로 이어졌으며, 이 중 프랑스 정부 기관에서 널리 채택한 제품을 보유한 모니터링 소프트웨어 회사 Centreon의 손상도 포함되었습니다.
Centreon 공격 요약
ANSSI에 따르면, Sandworm 해커들은 인터넷에 노출된 Centreon 서버를 침투했습니다. 초기 침입 방법은 아직 알려지지 않았지만, 연구자들은 공격자들이 Centreon 제품의 취약점을 악용했거나 관리자 계정의 자격 증명을 도용했을 가능성을 언급합니다.
Centreon 침해는 위협 행위자들이 다른 프랑스 기관을 해킹하고 네트워크에 백도어 멀웨어를 설치할 수 있게 하는 진입점으로 사용되었습니다. 보안 전문가들은 Sandworm 캠페인 중 손상된 모든 회사들이 서버에서 CentOS 운영 체제를 실행하고 있었다고 보고합니다.
Centreon 소프트웨어가 SolarWinds Orion 제품과 유사하고 Sandworm 침입이 악명 높은 SolarWinds 공급망 공격과 많은 공통점을 가지고 있음에도 불구하고, Centreon 관계자들은 주장합니다 Sandworm 캠페인 동안 어떠한 사용자도 영향을 받지 않았다고 밝혔습니다. 영향을 받은 조직은 모두 2016년에 출시된 더 이상 공급업체가 지원하지 않는 레거시 오픈 소스 버전 (v2.5.2)을 사용했습니다. 더 나아가, Centreon의 성명서는 Sandworm 해커들이 악성 업데이트를 고객에게 전파하기 위해 회사의 IT 인프라를 사용한 적이 없기 때문에 보안 사고가 공급망 공격이 아니라는 점을 명확히 합니다.
P.A.S 웹쉘과 Exaramel 백도어
ANSSI가 분석한 손상된 Centreon 서버는 P.A.S 웹 쉘과 Exaramel 백도어로 확인된 두 가지 멀웨어 샘플의 존재를 공개했습니다. 두 악성 코드는 위협 행위자들이 비밀리에 정찰 활동을 수행하는 데 사용되었습니다.
연구자들에 따르면, Sandworm 해커들은 그들의 피해자를 공격하기 위해 P.A.S (Fobushell) 웹 쉘 버전 3.1.4를 사용했습니다. 이 악성 코드는 우크라이나 학생이 개발하였으며 다양한 위협 행위자들이 그들의 작업에서 널리 채택하고 있습니다. 예를 들어, P.A.S 웹 쉘은 여러 WordPress 사이트에 대한 공격 에 활용되었으며, 2016년 미국 선거 개입을 목표로 한 러시아 관련 해커들의 악의적 활동에도 사용되었습니다. 이 멀웨어의 놀라운 기능은 해커들이 파일을 나열, 수정, 생성 또는 업로드하고, SQL 데이터베이스와 상호작용하며, 손상된 호스트 내 특정 요소를 검색하고, 리버스 쉘을 외부 주소를 매개변수로 하여 생성하는 것 등을 할 수 있게 합니다. 이 밖에도 열린 포트 및 리스닝 서비스를 검색하고, 브루트 포스 공격을 수행하며, 손상된 시스템에 대한 데이터를 수집하는 기능을 제공합니다.
Sandworm 해커들이 사용한 또 다른 악성 샘플은 Exaramel 백도어입니다. 이는 원래 2018년 ESET에 의해 보고되었습니다 , 두 가지 기존 변종이 식별되었습니다. 하나는 Windows 사용자를 대상으로 설계되었고, 다른 하나는 Linux 시스템에만 사용됩니다. 현재 악성 작전에서는 Sandworm 위협 행위자들이 리눅스 버전의 백도어에 의존하여 피해자에 대한 은밀한 감시를 수행했습니다. Exaramel은 Go 언어로 작성된 원격 관리 도구입니다. 이 멀웨어는 HTTPS를 통해 공격자의 명령 및 제어 (C&C) 서버와 통신하고 운영자가 설정한 다양한 작업을 수행할 수 있습니다. 특히, Exaramel은 자기 삭제, 자기 업데이트, 파일 업로드 및 수정, 셸 명령 실행 및 보고서 컴파일이 가능합니다.
Sandworm 해커로의 흔적
러시아의 국가 지원을 받는 Sandworm APT 그룹(aka BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots)은 GRU의 군 부대로 알려져 있으며, 최소 2009년부터 활동해왔습니다. Sandworm 위협 행위자들은 모스크바 정부를 대변하는 많은 주요 해킹 작전에 참여했습니다. 예를 들어, 2015-2016년에는 우크라이나 전력망에 대해 파괴적인 사이버 공격을 일으켰습니다. 2017년에는 NotPetya 캠페인을 주도했습니다. 동시에, 2017년에는 프랑스의 지방 정부 기관, 정당, 캠페인 등을 대상으로 일련의 스피어 피싱 공격을 시작했습니다.
As 2018년 ESET에 의해 보고되었습니다 Costin Raiu, Kaspersky Lab의 글로벌 연구 및 분석 팀 (GReAT) 이사에 따르면, Sandworm은 자사의 악성 작전에서 Exaramel 백도어를 배포하는 유일한 그룹으로 확인되었으며, 이는 러시아 APT가 Centreon 해킹 배후에 있다는 직접적인 표시입니다.
공격 탐지
Exaramel 백도어와 관련된 악의적 활동을 식별하고 사전에 대응하려면 SOC Prime 팀에서 제공하는 전용 Sigma 규칙을 다운로드할 수 있습니다:
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
이 규칙은 다음 플랫폼으로 변환됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
전술: 초기 액세스
기술: 공공-대면 애플리케이션 공격 (T1190)
행위자: Sandworm 팀
위협 탐지 마켓플레이스 구독 하시면 90,000개 이상의 큐레이션된 SOC 콘텐츠 라이브러리에 액세스할 수 있으며, 이에는 규칙, 파서 및 검색 쿼리, Sigma 및 YARA-L 규칙이 다양한 형식으로 쉽게 변환 가능하며 MITRE ATT&CK 매트릭스와 정렬되어 포함됩니다. 직접 Sigma 규칙? 을 개발하고 싶으신가요? Threat Bounty 프로그램에 참여하시고 귀하의 기여에 대해 보상 받으세요!
