다크 할로(APT), 솔라윈즈 해킹 및 말웨어바이트 침해 배후에 있다
목차:
다크 할로(UNC2452, SolarStrom)로 명명된 새로운 고도화된 APT 그룹이 최근 사이버 보안 분야에 등장하여 지난 몇 달 동안 주요 언론의 헤드라인을 차지했습니다. 연구자들은 이 고급 행위자가 역사적인 SolarWinds 해킹과 Malwarebytes 보안 벤더 공격의 배후일 가능성이 있다고 믿습니다.
다크 할로란 누구인가?
Volexity의 보안 전문가들 은 다크 할로가 2019년 말에 악성 활동을 시작했다고 추정합니다. 이 그룹은 미국의 이름 없는 싱크탱크에 대해 여러 차례 공격을 감행하여 고위 임원의 이메일을 탈취하려 했습니다. 아마도 다크 할로는 주요 미국 벤더와 정부 기관에 대한 추가 정찰 작전을 강화하기 위해 귀중한 데이터를 검색했을 것입니다. 특히 위협 행위자들은 레드팀 도구와 정교한 악성코드 샘플을 포함하는 풍부한 악성 도구 세트를 사용했습니다. 그러나 이러한 도구들은 기회가 봉쇄된 경우에만 가끔 사용되었습니다. 방법의 선별성은 APT가 데이터 도난 활동 중 레이더 아래에 머물려는 의도에서 설명됩니다.
Volexity는 미국 싱크탱크에 대해 2019년 3분기부터 2020년 2분기까지 발생한 세 번의 연속적인 공격을 설명합니다. 처음에 다크 할로 회원들은 정교한 임플란트와 백도어 트로이 목마를 사용하여 조직에 침투하고 눈에 띄지 않게 머물렀습니다. 발각되고 차단된 후, 적들은 Microsoft Exchange 제어 패널(CVE-2020-0688)에 있는 원격 실행 결함을 악용하여 조직 자산에 대한 접근 권한을 복원했습니다. 마지막으로, 다크 할로는 악의적으로 수정된 SolarWinds Orion 업데이트를 통해 세 번째로 벤더를 손상시켰습니다.
Volexity의 연구는 FireEye의 결론과 밀접하게 공명하며, 다크 할로가 SolarWinds 공격에 책임이 있는 UNC2452 그룹과 동일하다고 연구자들이 추정할 수 있게 합니다. 해커들의 출신은 여전히 불분명하지만, 미국 정보기관은 다크 할로가 러시아 정부를 대신해 활동하고 있다고 의심하고 있습니다.
다크 할로 공격 절차
보안 연구자들은 다크 할로가 목표를 달성하기 위해 적용한 몇 가지 악의적인 접근 방식을 자세히 설명합니다. 특히, 적들은 그들의 캠페인 중 Outlook Web App (OWA)에서 이메일 데이터를 추출하는 흥미로운 방법을 사용했습니다. 표적 메일함은 Duo 다중 인증으로 보호되었지만, 사이버 범죄자들은 도난된 로그인 정보를 입력하여 이메일 계정을 손상시켰습니다. 이 경우 두 번째 요소는 작동하지 않았고, Duo 인증 서버는 어떤 인증 시도도 등록하지 않았습니다. 조사 결과 다크 할로가 OWA 서버에서 Duo 통합 비밀 키(akey)를 성공적으로 획득한 것으로 밝혀졌습니다. 이후 그들은 이 키를 사용하여 duo-sid 쿠키를 제작하여 유효한 인스턴스로 서버에 제시했습니다.
정찰 활동의 경우, 다크 할로는 분명히 Exchange 서버에 의존했습니다. 구체적으로, 보안 전문가들은 해커들이 서버에서 사용자 목록을 검색하고 현재 역할을 확인하며 구성된 가상 디렉토리에 대한 귀중한 데이터를 얻기 위해 Exchange를 사용했다는 것을 확인했습니다. 또한, 해커들은 AdFind 명령줄 도구를 사용하여 Active Directory에서 데이터를 수집했습니다.
보안 전문가들은 해커들이 그들의 악성 행위들을 숨기기 위해 많은 주의를 기울였다고 언급합니다. 보도에 따르면, 적들은 목표 애플리케이션에서 관련된 모든 로그를 삭제하고 그들의 명령의 모든 흔적을 지웠습니다. 이러한 행동은 또 한 번 해커들의 정찰 의도, 파괴가 아닌 정보를 얻고자 하는 욕구를 증명합니다.
SolarWinds 해킹
연구자들은 자신 있게 다크 할로 APT 그룹이 SolarWinds 획기적 공격에 책임이 있다고 말합니다. 이 그룹은 트로이목마화된 SolarWinds Orion 업데이트를 통해 전 세계 수십 개의 공공 및 민간 기관을 손상시켰습니다. 이전에 설명한 캠페인에서처럼 공격자들은 스스로를 숨기기 위해 다수의 도구를 사용했습니다. 예를 들어, 연구자들은 두 개의 악성 변종을 확인했으며, 이름하여 Teardrop과 Raindrop인데, 이는 손상된 환경에 Cobalt Strike Beacon을 전달하고 공격자들의 네트워크 상에서의 측면 이동 능력을 강화했습니다. 조사는 여전히 진행 중이며, 새로운 세부 사항들이 끊임없이 드러나고 있습니다. 하지만 모든 전문가들은 다크 할로가 고급 위협 그룹이며, 국가의 지원을 받을 가능성이 크다고 의견을 같이 합니다. 해커들은 관심 있는 조직으로부터 민감한 데이터를 훔치기 위해 복잡한 공격 절차를 지원할 수 있습니다.
Malwarebytes 침해
2021년 1월 19일, 또 다른 보안 회사인 Malwarebytes는 다크 할로 공격의 희생자가 되었다고 발표했습니다. Malwarebytes CEO의 공식 성명 에 따르면, 해커들은 회사 직원 여러 명의 이메일 계정을 침투하는 데 성공했습니다. 보도에 따르면, 적들은 Azure Active Directory와 휴면 상태의 Office 365 보안 앱에 있는 보안 허점을 이용해 이메일 데이터를 탈취했습니다. Malwarebytes는 회사가 일상에서 어떠한 SolarWinds 소프트웨어도 사용하지 않기 때문에, 이 침해가 SolarWinds 해킹과 관련이 없다고 주장합니다. 또한, 회사는 해커들이 어떠한 회사 환경에도 접근하지 않았다고 말하며, 모든 제품들은 안전하게 사용될 수 있음을 밝혔습니다.
Malwarebytes 타격으로 인해 다크 할로에 의해 손상된 보안 벤더 목록은 FireEye, Microsoft, CrowdStrike와 함께 네 개로 늘어났습니다.
다크 할로 탐지
다크 할로 활동의 가능성을 탐지하기 위해, SOC Prime의 위협 추적 엔지니어 팀이 전용 Sigma 규칙을 발표했습니다:
https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/
이 규칙은 다음 플랫폼으로 번역되었습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
전술: 발견
기술: 계정 검색 (T1087)
또한, QRadar 내에서 Dark Halo (UNC2452) 존재를 탐지하기 위한 실시간 상관 관계 규칙이 포함된 규칙 팩을 팀에서 다운로드할 수 있습니다:
https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/
다크 할로 악성 활동과 관련된 더 많은 규칙은 FireEye 침해, SUNBURST 백도어 분석, 및 Raindrop 악성코드 개요에 헌정된 블로그 포스트에서 찾을 수 있습니다. SolarWinds 사건에 대한 추가 세부사항은 Golden SAML 공격 및 SUPERNOVA 백도어에 헌정된 포스트에서 확인할 수 있습니다.
귀하의 위협 탐지 능력을 향상시키기 위한 최고의 SOC 콘텐츠를 찾고 계십니까? Threat Detection Marketplace에 가입하십시오. 이는 보안 운영 팀이 보안 분석을 강화할 수 있도록 지원하는 업계 선도적인 위협 탐지 콘텐츠 서비스(CaaS) 플랫폼입니다. 전용 탐지 콘텐츠를 생성하고자 하십니까? 저희의 Threat Bounty 프로그램 에 참여하여 SOC Prime 커뮤니티와 귀하의 통찰을 공유하십시오!
