중국 국가 후원 사이버 행위자 탐지: Volt Typhoon의 미국 주요 인프라 표적 은밀한 활동에 대한 공동 사이버 보안 자문(CSA) AA23-144a 조명

수년 동안 중국은 정보 수집과 민감한 데이터 수집을 목표로 미국 및 여러 산업의 글로벌 조직을 대상으로 공격적인 작전을 수행해 왔으며, 공격은 종종 머스탱 팬더 or APT41.

와 같은 국가 지원 APT 그룹과 관련이 있습니다. 공동 사이버 보안 권고문 2023년 5월 24일, NSA, CISA, FBA와 기타 미국 및 국제 작성 기관은 중국과 관련된 국가 지원 APT 그룹의 최근 공개된 적대적 활동을 다루는 권고문인 Volt Typhoon을 발표했습니다. 기업 시스템에 접근함으로써 위협 행위자는 사용자 로그인 정보를 탈취하고 이를 사용하여 다른 네트워크에 대한 접근을 확장하고 지속성을 유지하여 Volt Typhoon이 레이더 아래에서 오랫동안 머물 수 있도록 합니다. 보고서에 따르면 적대적 활동은 미국의 중요한 인프라에 영향을 미치며, 잠재적으로 글로벌 규모로 여러 산업 부문을 대상으로 하는 공격 범위를 확장하여 사이버 방어자에게 심각한 위협을 제기합니다.

중국 국가 지원 Volt Typhoon APT 공격 감지

미국과 중국 간의 긴장이 고조됨에 따라, 중화인민공화국(PRC)과 관련된 고급 지속 위협 그룹은 미국 내 표적에 주목하고 있습니다. NSA, CISA, FBA 및 국제 당국의 최신 공동 권고문은 미국의 중요한 인프라 부문을 공격하는 생활기반 기술을 활용한 장기 지속 사이버 스파이 캠페인을 밝히고 있습니다.

Volt Typhoon과 관련된 악의적인 활동을 감지하는 데 도움을 주기 위해, SOC Prime의 집단 사이버 방어 플랫폼은 관련 Sigma 규칙 세트를 집계합니다. 모든 감지는 25개 이상의 SIEM, EDR 및 XDR 솔루션과 호환되며, MITRE ATT&CK 프레임워크 버전 12에 매핑되어 보안 전문가가 조사 및 위협 사냥 작업을 간소화할 수 있도록 돕습니다.

아래 탐색 감지 버튼을 눌러 최신 침입 과정에서 생활기반 기술을 활용한 은밀한 Volt Typhoon 공격을 탐지하기 위한 감지 콘텐츠 번들로 즉시 드릴다운하세요. 콘텐츠 검색을 단순화하기 위해 SOC Prime은 CISA 경고 및 해킹 집단의 지리적 식별자에 기반하여 사용자 정의 태그 “AA23-144a” 및 “RPC”로 필터링을 지원합니다.

탐색 감지

중국, 이란, 러시아가 지원하는 주요 APT 그룹에 대한 독특한 감지 규칙 세트를 SOC에 장착하십시오

10년 넘게 진행 중인 글로벌 사이버 전쟁의 확산을 목격하며, SOC Prime 팀은 위협 현상금 프로그램 회원의 지원을 받아 전 세계 주요 APT 그룹의 활동을 지속적으로 분석하고, 국가지원이 있는 위협으로부터 조직의 사이버 방어를 강화하기 위한 맞춤형 감지 콘텐츠를 제작합니다. 우리의 전문가들은 BlackEnergy 공격 and NotPetya 발발 이래로 서명 콘텐츠를 집계하고 관련 감지 콘텐츠를 개발해 오고 있습니다.

현재까지 SOC Prime의 Threat Detection Marketplace는 중국, 이란, 러시아의 국가지원 집단이 활용하는 주요 전술, 기술, 절차를 다루는 1,000개 이상의 Sigma 규칙을 큐레이션합니다. 공급 업체 비종속 Sigma 표준에 의해 구동되는 Threat Detection Marketplace를 통해, SOC 팀은 사용하는 보안 솔루션에 관계없이 주요 APT 행위자의 TTP를 다루는 감지 콘텐츠를 완전히 무장할 수 있습니다.

중국, 이란, 러시아의 국가 지원 해킹 집단에 대한 Sigma 규칙의 큐레이션 목록이 진행 중이며, ATT&CK에 매핑되고 28개 SIEM, EDR, XDR 솔루션으로 변환 가능한 검증된 감지 알고리즘으로 사이버 방어자를 장비할 준비가 되어 있습니다. 관련 위협에 대해 1,000개 이상의 Sigma 규칙 전체 컬렉션을 먼저 해제하고 공격자가 공격할 기회를 놓치지 않도록 업데이트를 주시하십시오.

최근 공동 CSA 경고에 다루어진 Volt Typhoon 중국 지원 APT 활동 분석

미국 국가 보안국(NSA), 사이버 보안 및 인프라 보안국(CISA), 미국 연방 수사국(FBI)과 기타 사이버 보안 당국은 최근에 공동 사이버 보안 권고문(CSA) 을 발표하여 Volt Typhoon 국가 지원 해킹 집단의 새로 발견된 악의적 활동을 조명했습니다. 이 보고서에서 다루어진 그룹은 중화인민공화국(PRC)과 관련이 있으며, 미국의 중요한 인프라 부문 전반에 걸쳐 네트워크를 표적으로 하는 일련의 공격 작전을 실시합니다.

에 따르면, Microsoft의 연구에 따르면, Volt Typhoon은 2021년부터 사이버 위협 영역에서 공격 작전을 수행해 왔으며, 주로 미국의 다양한 산업 부문에서 괌 및 기타 지역의 중대한 인프라를 표적으로 삼습니다. 식별된 행동 패턴은 사이버 스파이 활동과 관련된 공격자의 목표와 스텔스를 유지하는 것에 중점을 두고 있습니다.

해킹 그룹은 주로 적군 무기고에서 운영 체제의 네트워크 관리자 도구를 악용하여 악의적 목표를 달성하는 ‘생활기반’ TTP를 활용합니다. 이 기술은 합법적인 Windows 시스템 및 정규 네트워크 운영과 섞임으로써 탐지를 회피하고 EDR 솔루션을 피할 수 있도록 합니다. Volt Typhoon은 PowerShell 및 “ntdsutil”, “netsh” 도구와 같은 Microsoft Windows 커맨드 라인 유틸리티 세트를 활용합니다.

공격 체인은 손상된 시스템에서 자격 증명을 수집하고, 데이터를 아카이브로 저장하여 탈출 준비를 하고, 회수한 자격 증명을 활용하여 지속성을 유지하는 세 단계로 구성됩니다. 초기 단계에서 위협 행위자는 기업 시스템에 액세스하기 위해 널리 사용되는 FortiGuard 사이버 보안 스위트의 취약점을 무기화합니다. 표적 환경에 접근한 후, Volt Typhoon은 키보드를 활용한 직접 작업을 수행하고 손상된 네트워크 전반에 걸쳐 정보 검색 및 데이터 탈출을 위해 생활기반 명령에 의존합니다.

CSA 권고문은 위에 언급한 중국 관련 APT와 관련된 위협을 사냥하는 데 사이버 보안 전문가를 도울 수 있는 적대적 명령 및 IOC의 목록을 다룹니다.

사이버 보안 조사의 결과에 따르면, Volt Typhoon은 악의적 활동을 숨기기 위해 영향을 받은 SOHO 네트워크 장치를 적용했으며, 이에 따라 이러한 장치의 소유자는 잠재적 감염 노출을 방지하기 위해 즉각적인 주의가 필요합니다.

또한, 해커들은 Windows 도메인 컨트롤러에서 사용자, 그룹, 비밀번호 해시와 관련된 민감한 데이터를 가진 “ntds.dit” 파일과 SYSTEM 레지스트리 하이브를 탈출하려는 시도를 하는 것으로 관찰되었습니다. Volt Typhoon은 Shadow Copy를 생성하고 그로부터 “ntds.dit” 파일의 사본을 회수하려고 시도합니다. 위협 행위자는 Microsoft Windows Server 관리자들이 AD 및 관련 구성 요소를 관리하는 데 사용하는 Ntdsutil 커맨드 라인 유틸리티를 통해 이러한 악의적 작업을 수행하고 사용자 비밀번호를 탈취할 수 있으며, 이는 도구 명령을 실행할 때 사이버 방어자에게 주의를 요구합니다.

위험을 완화하기 위해, 사이버 보안 연구자들은 손상된 네트워크에서 위협 행위자를 제거하는 방법에 관한 CISA의 퇴출 지침뿐만 아니라 공격 표면을 줄이고 사이버 보안 태세를 최적화하는 관련 산업 모범 사례를 따르는 것을 권장합니다. 여기에는 강력한 다단계 인증 시행, 환경 내 포트 프록시 사용 제한, 클라우드 제공 보호 활성화 및 EDR 솔루션을 차단 모드에서 실행하는 것 등이 포함됩니다.

MITRE ATT&CK 컨텍스트

중국 지원 Volt Typhoon APT 그룹의 지속적인 표적 활동의 심층 컨텍스트를 탐색하기 위해 위의 탐지 스택 내 제공된 모든 Sigma 규칙은 관련 전술 및 기술을 다루는 MITRE ATT&CK으로 태그가 지정되어 있습니다: