중국 지원 APT 공격 탐지: Recorded Future의 Insikt 그룹 연구를 바탕으로 한 중국 국가지원 공격 작전의 고도화 및 성숙성 대응

지난 5년 동안, 중국 국가 지원 공격 캠페인은 이전보다 더 정교하고 은밀하며 잘 조율된 위협으로 발전했습니다. 이러한 변화는 공개적으로 접근할 수 있는 보안 및 네트워크 인스턴스에서 제로데이와 알려진 취약점을 광범위하게 활용하는 것으로 특징지어집니다. 또한, 공격 표식을 줄이는 것을 목표로 한 운영 보안에 더 집중하고 있습니다. 공격자들은 LOLbins 및 익명화 네트워크를 활용하여 침입을 감추기 위한 탐지 회피 기술 세트를 사용합니다. 중국 국가 지원 공격 작전의 은밀함과 운영 보안에서의 전환은 공공 부문을 포함한 다양한 산업 벡터의 조직들과 글로벌 사이버 방어 공동체에 더 복잡하고 까다로운 사이버 위협 환경을 조성했습니다.

이 기사에서는 중국이 Recorded Future의 Insikt Group 보고서에 기반하여 글로벌 규모의 선도적인 사이버 강국으로 발전한 방법을 심층 분석하며, 중국과 연관된 국가 지원 악성 행위자들의 공격 증가에 방어할 수 있는 맞춤형 탐지 알고리즘을 제공하여 방어자들에게 도움을 줍니다. and provides defenders with curated detection algorithms to proactively defend against escalating attacks by China-linked state-sponsored malicious actors. 

Recorded Future 연구에서 다룬 중국 국가 지원 APT 공격 탐지

지난 10년 동안 중국 지원 국가 후원 행위자들은 그들의 공격 전술, 기술 및 절차(TTPs)의 정교함에서 상당한 변화를 이루었습니다. Insikt Group의 조사에 따르면, 중국 해커들은 더 전략적이고 은밀해지는 경향이 있으며, 공개적으로 접근할 수 있는 장치에서 제로데이와 알려진 취약점을 이용합니다. 또한, 대규모의 IoT 기기나 가상 사설 서버 설치로 구성된 익명 네트워크와 오픈 소스 가족 및 익스플로잇을 활용하여 탐지를 피하고 식별을 회피합니다. 특히, 중국 관련 행위자들은 지속적으로 지식과 경험을 교환하면서 공유된 정보 및 공격 인프라를 사용하는 것으로 관찰되었습니다.

사이버 방어자들은 적보다 더 빠르게 행동하기 위해 더 나은 위험 평가 및 정확한 우선순위 설정, 그리고 관련 탐지 및 완화 전략을 위해 협력해야 합니다. SOC Prime의 플랫폼을 통해 중국 국가 지원 그룹에 의해 널리 사용되는 TTP를 다루는 맞춤형 탐지 콘텐츠를 확보하여 집단 사이버 방어를 강화하십시오.

중국 국가 지원 활동과 관련된 일반적으로 관찰된 TTP를 탐지하기 위한 Sigma 규칙

또한, 보안 전문가는 중국 지원 그룹에 의해 활용된 제로데이 익스플로잇을 식별하기 위한 전용 탐지 스택을 SOC Prime 플랫폼에서 검색할 수 있습니다. 아래 링크를 따라가 28개 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되는 광범위한 규칙 목록을 깊이 살펴보고, MITRE ATT&CK 프레임워크, 및 관련 CTI & 메타데이터로 풍부하게 제공됩니다.

의심되는 중국 국가 지원 그룹에 의해 잠재적으로 사용되는 제로데이 취약점 악용 사례를 탐지하기 위한 Sigma 규칙

Insikt Group의 Recorded Future 보고서에 설명된 TTP를 다루는 전체 규칙 목록을 확보하려면 탐색 단추를 클릭하십시오. 보안 전문가는 ATT&CK 참고자료 및 CTI 링크와 함께 심층적인 정보를 얻고 위협 조사를 간소화하며 SOC 생산성을 향상시킬 수 있습니다., hit the Explore Detections button. Security professionals can obtain in-depth intelligence accompanied by ATT&CK references and CTI links to streamline threat investigation and boost SOC productivity.

탐지 탐색

Insikt Group 연구에 기반한 중국 국가 지원 APT 공격 변형 분석

중국은 수년 동안 악의적인 캠페인을 진행하며, 정보 및 민감한 데이터를 수집하기 위해 다양한 산업의 미국 및 글로벌 조직을 표적으로 삼고 있으며, 이러한 공격은 Mustang Panda or APT41.

등과 같은 국가 지원 APT 그룹과 연결되어 있습니다. 중국과 연결된 공격의 범위가 확장되고 정교함이 증가함에 따라 집단적인 사이버 방어를 강화하여 조율된 공격 세력에 맞설 필요성이 커졌습니다. 2023년 늦은 봄, NSA, CISA 및 FBA를 포함한 미국 및 국제 당국은 Volt Typhoon으로 알려진 중국 국가 지원 APT와 연관된 악성 활동 증가에 대한 사이버 보안 인식을 높이기 위한 공동 사이버 보안 자문을 발행했습니다. 및 미국의 중요 인프라를 대상으로 하는 경우입니다.

중국 국가 지원 사이버 활성화 작전은 주로 인민해방군 전략지원부대(PLASSF) 및 국가안전부(MSS)를 포함한 군대에 의해 수행됩니다. 지난 반세기 동안 중국 APT 그룹은 주로 군사 및 정치 정보에 대한 집중을 하고 있으며 전략적 경제 및 정책 목표를 지원하고자 하는 방향으로 초점을 변경하면서 인종 및 종교적 소수자를 포함한 인식된 내부 위협을 표적으로 삼고 있습니다.

2021년 이래로 중국 지원 위협 그룹은 공공 시스템의 취약점을 활용하는 데 상당한 초점을 두고 있습니다. 이 기간 동안 중국 국가 지원 그룹에 의해 악용된 제로데이 취약점의 85% 이상이 방화벽, 기업용 VPN 제품, 하이퍼바이저, 부하 분산기 및 이메일 보안 제품을 포함한 공공 시스템에서 발견되었습니다. 중국 국가 지원 그룹으로 의심되는 자들이 악용한 주요 취약점 중 하나는 Confluence 데이터 센터 및 서버의 CVE-2023-22515 와 Citrix NetScaler에서 추적된 RCE 제로데이인 CVE-2023-3519, 그리고 Fortinet FortiOS SSL-VPN의 악의적인 제로데이 취약점인 CVE-2022-42475입니다. 기업들이 클라우드 기반 환경으로의 전환이 진행됨에 따라 이러한 환경을 겨냥하는 것이 가까운 미래에 강조될 가능성이 큽니다., a nefarious zero-day vulnerability in Fortinet FortiOS SSL-VPN. Given the ongoing migration of organizations to cloud-based environments, there is likely to be an increased emphasis on targeting these environments in the near future.

제로데이 및 알려진 취약점을 무기화하는 것 외에도, 중국 국가 지원 해킹 단체들은 탐지, 공격 및 C2 인프라에 대해 대규모 익명화 네트워크를 조직적으로 활용하고 있습니다. 더 정교하고 은밀한 적대 활동으로의 전환에는 공개 소스 악성 코드 패밀리와 익스플로잇, 뿐만 아니라 공공 소프트웨어를 위한 사용자 정의 악성 코드 샘플을 사용하는 것이 포함되며, 인내를 유지하기 위해 활동합니다.

Recorded Future의 Insikt Group 연구원들은 조직과 개별 사용자들이 취약점 노출을 줄이고 제때 패치를 제공하며 공공 영역의 RCE 보안 결함, 특히 공공 개체에 대한 취약점을 지속적으로 우선시할 것을 권고합니다. 네트워크 분할 모범 사례를 따르고 다중 요소 인증을 활성화하며, 중국 지원 APT 활동과 관련된 일반적인 TTP 완화에 대한 최신 정보와 지침을 지속적으로 유지하는 것도 침입 위험을 최소화하기 위해 중요합니다.

지난 반세기 동안 국가 정부에서 지원하는 중국의 적대적 능력이 향상됨에 따라, 중국은 사이버 전쟁을 강화하고 공격 범위를 확장하여 사이버 전선에서 그 위치를 강화할 가능성이 큽니다. SOC Prime 및 500개 이상의 맞춤형 탐지 알고리즘에 도달하여 모든 범위와 규모의 현재 및 신규 APT 공격에 대비해 지속적으로 사이버 회복력을 강화하십시오.