이란 해커와 연관된 무차별 대입 및 자격 증명 접근 활동 탐지: FBI, CISA 및 파트너들이 중요 인프라 조직에 대한 증가하는 공격에 대해 방어자들에게 경고

2024년 여름 말, FBI, 국방부 및 CISA는 이란 관련 적들로 알려진 자들에 의해 운영이 증가하고 있다는 경고 조언을 발행했습니다. Pioneer Kitten. 미국 사이버 보안 저작 기관들은 국제 파트너와 함께 최근 또 다른 AA24-290A 권고문 을 발행하여 이란 위협 행위자들이 조직의 침입에 사용하는 무차별 대입과 자격 증명 접근을 활용하여 다양한 주요 인프라 섹터의 조직을 위협하고 있다는 활동 증가를 다루고 있습니다. 이란 관련 적들은 자격 증명과 네트워크 정보를 훔쳐 사이버 범죄자들에게 판매하여 추가적인 접근을 촉진하려고 하고 있습니다.

AA24-290A CISA 권고에서 설명된 이란 해커의 사이버 공격 탐지

2024년에는 이란, 중국, 북한 및 러시아를 포함한 다양한 글로벌 지역의 APT 그룹들이 역동적이고 혁신적인 공격 능력의 현저한 증가를 보였습니다. 세계 사이버 보안 계에 상당한 도전을 제기하고 있는 이란 지원 해커들은 지속적인 공격 전략을 통해 가장 위협적인 APT 위협 중 하나로 인식되고 있습니다. 미국 주정부 기관 및 국제 파트너의 최신 AA24-290A 권고는 이란 정부 지원 적들에 의해 증가하는 자격 증명 접근 및 무차별 대입 공격을 경고하며, 전세계 주요 인프라, 정부, 헬스케어, 에너지 섹터가 직면한 증가된 위험을 강조합니다.

보안 전문가들이 공격의 산사태에 대처하기 위해 의존할 수 있는 SOC Prime Platform 은 집합적 사이버 방어를 위한 고급 위협 탐지, AI 기반 탐지 엔지니어링 및 자동화된 위협 사냥을 위한 완전한 제품군을 제공합니다. 플랫폼 사용자는 24시간 SLA에 따라 공개되는 최신 위협 인텔 및 신중히 선별된 탐지 규칙에 접근할 수 있습니다.

아래의 탐지 탐색 버튼을 눌러 AA24-290A 권고문에서 설명된 TTP를 다루는 전용 Sigma 규칙 스택으로 즉시 탐색하십시오. 모든 Sigma 규칙은 MITRE ATT&CK® 프레임워크에 매핑되어 있으며, 맞춤형 인텔리전스로 보강되고 30가지 이상의 SIEM, EDR 및 데이터 레이크 언어 형식으로 변환 가능합니다. 또는 사이버 수비자들은 ‘AA24-290A’ 태그를 사용하여 위협 탐지 마켓플레이스에서 맞춤형 검색을 수행할 수 있습니다.

탐지 탐색

보안 엔지니어들은 또한 Uncoder AI 를 활용하여 자격 증명 접근 및 무차별 대입 공격에 사용된 적의 TTP에 대한 IOC 패키지화 및 회고 헌팅을 가속화할 수 있습니다. 해당 권고문에서 즉시 지정된 SIEM, EDR 및 데이터 레이크 언어에 맞는 맞춤형 쿼리로 변환하여 이를 수행할 수 있습니다.

AA24-290A 경고에서 다뤄진 이란 관련 활동 분석

미국의 주요 저작 기관, FBI, CISA, NSA 및 국제 파트너들로부터의 최신 보안 권고 AA24-290A 는 이란 해킹 그룹들이 주도하는 대규모 공격 작전으로 인한 증가하는 위험을 수비자들에게 알립니다. 적들은 여러 무차별 대입 공격 기법과 자격 증명 접근 활동을 사용하여 보건, 정부, IT, 엔지니어링 및 에너지 부문을 포함한 주요 인프라 조직을 목표로 삼습니다.

2024년 가을 중반 이후, 이란 해커들은 비밀번호 분산 및 MFA “푸시 폭탄”을 포함한 무차별 대입 기법을 사용하여 사용자 계정을 침해하고 조직에 접근하고 있습니다. 그들은 더 많은 자격 증명과 정보가 도움이 될 수 있는 네트워크 정찰을 수행하였습니다. 기관은 이란 행위자들이 이러한 정보를 사이버 범죄자 포럼에서 판매하고 그곳에서 다른 사람들이 추가적인 악의적인 활동에 사용할 것으로 믿고 있습니다.

표적 네트워크에 접근한 후, 이란 관련 적들은 추가 자격 증명을 수집하고 권한을 상승시키며 조직의 시스템 및 네트워크에 대한 정보를 수집하기 위한 다양한 방법을 사용합니다. 그들은 또한 네트워크 내에서 횡단하며 다른 해커가 추가적인 접근 및 착취를 도울 수 있는 데이터를 다운로드했습니다.

적들은 비밀번호 분산과 같은 무차별 대입 방법으로 자주 획득한 정상 사용자의 이메일 계정으로 Microsoft 365, Azure 및 Citrix 시스템에 초기 접근을 얻었습니다. 그들은 ‘MFA 피로’를 유발하여 사용자들이 승인을 하지 않을 수 없도록 푸시 알림을 반복적으로 보내 악용하기도 했습니다. 한 번 내부에 들어오면, 행위자들은 자신의 기기를 MFA로 등록하여 접근을 안전하게 했습니다. 어떤 경우에는, 그들은 열린 MFA 등록을 활용하거나 셀프 서비스 비밀번호 재설정 도구를 사용하여 만료된 계정을 재설정하고 MFA를 활성화했습니다. 그들의 활동은 종종 Private Internet Access VPN 서비스와 연결된 많은 IP 주소와 함께 VPN을 사용하여 이루어졌습니다.

이란 해커들은 또한 횡단 움직임을 위해 RDP를 활용하고 Kerberos SPN 열거 및 Active Directory Microsoft Graph API를 통한 디렉토리 덤프와 같은 오픈 소스 도구 및 방법을 사용하여 자격 증명을 수집했습니다. 그들은 또한 비밀번호 스프레이를 위한 DomainPasswordSpray.ps1 및 Cmdkey와 같은 도구를 사용하여 사용자 이름과 자격 증명을 표시했습니다. 권한 상승의 경우, 적들은 도메인 컨트롤러 가장을 시도했으며, 이는 CVE-2020-1472.

로 추적된 악의적인 Zerologon 취약점을 악용했을 가능성이 높습니다. 공격자는 또한 Windows 명령줄 도구를 사용하여 도메인 컨트롤러, 신뢰받는 도메인, 도메인 관리자 및 엔터프라이즈 관리자에 대한 정보를 수집하는 LOTL 기술에 의존했습니다. 또한 PowerShell에서 LDAP 쿼리를 실행하여 Active Directory에 대한 세부 정보, 컴퓨터 이름 및 운영 체제를 수집했습니다. 일부 경우에는 msedge.exe를 사용하여 Cobalt Strike Beacon C2 인프라에 연결했습니다. 또한 원격 액세스 및 조직의 인벤토리에 관련된 파일을 다운로드하고, 이를 온라인에서 판매하거나 지속성을 유지하기 위해 외부로 반출했을 가능성이 있습니다.

이란 지원 적 활동과 관련된 무차별 대입 공격 및 자격 증명 접근 운영의 위험을 완화하기 위해, 사이버 수비자들은 IT 헬프데스크 비밀번호 관리가 사용자 검증 및 비밀번호 강도에 관한 회사 정책을 따르는지 확인하고, 시스템 노출을 최소화하기 위해 퇴사한 직원의 계정을 비활성화하며, 피싱 저항 MFA를 구현하고, 모든 공개 프로토콜 설정을 정기적으로 검토하며, 비밀번호 정책이 최신 NIST 가이드라인에 맞춰 조정되고 Kerberos 인증을 위해 RC4를 비활성화하는 것을 권장합니다.

다양한 산업에 걸쳐 글로벌 주요 인프라에 증가하는 위험을 감안할 때, 이란 해커에 대한 적극적인 사이버 방어 조치를 강화하는 것이 중요합니다. SOC Prime Platform 집합적 사이버 방어는 변화하는 위협 및 기존의 위협을 선제적으로 저지할 수 있는 실현 가능한 해결책을 제공하여, 추진력 있는 조직들이 국가 지원 APT 그룹, 랜섬웨어 관련자 및 가장 도전적인 비즈니스 공격을 차단하고 포괄적인 보안을 보장하며 대규모로 방어를 강화할 수 있도록 돕습니다.