아그리어스 APT에 의해 공급망 공격에서 활용된 판타지 데이터 와이퍼 탐지 방법

[post-views]
12월 14, 2022 · 3 분 읽기
아그리어스 APT에 의해 공급망 공격에서 활용된 판타지 데이터 와이퍼 탐지 방법

ESET의 보안 전문가들은 이란의 후원을 받은 Agrius APT가 새로운 데이터 와이퍼를 이용해 조직을 목표로 한 파괴적 작업을 밝혀냈습니다. Fantasy라고 명명된 이 파괴적인 악성 코드는 이름이 공개되지 않은 이스라엘 공급업체의 소프트웨어 업데이트를 악용한 공급망 공격을 통해 배포되었습니다. 피해자 중에는 이스라엘, 남아프리카, 홍콩에 있는 인사 및 IT 컨설팅 회사, 다이아몬드 도매업체, 보석 상인이 포함되어 있습니다.

Agrius APT의 Fantasy Wiper 공격 탐지

데이터 와이퍼 악성 코드는 의도적으로 대상 시스템의 데이터를 파괴하여 주요 디지털 및 비즈니스 중단을 초래합니다. 보안 실무자가 잠재적인 Fantasy 와이퍼 공격을 제때 식별할 수 있도록 돕기 위해, SOC Prime Platform은 우리 경험 있는 Threat Bounty 개발자가 제작한 Sigma 규칙을 수집합니다. Aung Kyaw Min Naing

삭제된 레지스트리 키 탐지를 통한 Agrius APT 그룹활동 가능성 [via_registry_event]

아래의 규칙은 Fantasy 와이퍼에 의해 삭제된 레지스트리 키를 탐지합니다. 이는 19개의 SIEM, EDR, BDP, XDR 솔루션과 호환되며 최신 MITRE ATT&CK® 프레임워크 v12에서 ‘Impact’ 전술과 해당 데이터 파괴 (T1485) 기술을 다룹니다.

집합적인 사이버 방어에 기여하기를 희망하는 위협 연구자들은 Threat Bounty Program 대중 소싱 이니셔티브에 참여할 수 있습니다. Sigma와 ATT&CK을 지원하는 탐지 코드를 작성하고, 산업 동료와 지식을 공유하며, 작업의 품질과 속도에 대해 보상을 받으면서 탐지 엔지니어링 기술을 지속적으로 향상시키세요.

현재까지 SOC Prime Platform은 APT 집단과 관련된 도구 및 공격 기법을 탐지하는 다양한 Sigma 규칙을 제공합니다. 해당 탐지 탐색 버튼을 눌러, 관련 ATT&CK 참조, 위협 인텔리전스 링크 및 기타 관련 메타데이터와 함께 탐지 알고리즘을 확인하세요.

탐지 탐색

Fantasy 데이터 와이퍼: Agrius APT의 최신 캠페인 분석

최소한 2020년 이후 활동 중인 이란 계열의 Agrius APT는 비교적 새로운 악성 행위자로, 주로 중동 지역에 노력을 집중하고 있습니다. 이 그룹은 이스라엘과 아랍 에미리트의 기관을 대상으로 한 Apostle 와이퍼로 주목을 받았습니다. Apostle은 처음에 랜섬웨어로 위장하여 피해자의 데이터를 은밀히 파괴했지만, 이후 실제 랜섬웨어로 작동하도록 수정되었습니다.

최신 ESET의 조사에 따르면, Agrius APT는 이제 파괴적 작업을 진행하기 위해 Fantasy라는 새로운 데이터 와이퍼로 전환했습니다. Apostle 후속작으로서 Fantasy는 암호화 기능을 가지지 않으며, 오직 와이퍼로서 작동합니다. 실행 시 Windows 폴더를 제외한 모든 드라이브와 디렉토리의 데이터를 덮어쓰고, 복구 시도를 방지하기 위해 파일을 파괴합니다. 또한, Fantasy는 HKCR의 레지스트리 키를 삭제하고 WinEventLogs를 지우며, Windows SystemDrive 폴더를 비웁니다. 마지막으로, 2분의 절전 모드 뒤에 와이퍼가 마스터 부트 레코드를 덮어쓰고 스스로를 삭제하며 시스템을 재부팅합니다.

Fantasy 와이퍼 배포를 목표로 한 캠페인은 2022년 2월에 시작되었으며, 적들은 다이아몬드 산업의 남아프리카 회사를 침해하여 인증 정보를 덤프했습니다. 이후, Agrius APT는 그 이스라엘 소프트웨어 공급업체를 악용한 공급망 공격을 통해 새로운 Fantasy 와이퍼와 새로운 측면 이동 및 와이퍼 실행 도구인 Sandals를 투입했습니다. 2022년 2월, 이스라엘의 HR 및 IT 컨설팅 회사가 이 공격의 피해를 입었고, 다이아몬드 산업에서 널리 사용되는 이스라엘 소프트웨어 모듈의 모든 사용자들도 피해를 입었습니다. 2022년 3월까지, Fantasy 와이퍼는 이스라엘, 홍콩, 남아프리카의 여러 회사에 배포되었습니다.

국가 지원 APT 그룹에 의한 사이버 공격의 양이 증가하고, 그들의 정교함이 증가함에 따라 사이버 수비대의 초고속 대응이 필요합니다. socprime.com 에서 암호화폐 사용자에게 영향을 미치는 악성 소프트웨어를 포함한 현재 및 새로운 위협에 대한 Sigma 규칙을 검색하고, 탐지 엔지니어링 및 위협 사냥에 대한 9,000개 이상의 아이디어에 종합적인 사이버 위협 컨텍스트와 함께 도달하세요. 또는 당사의 온디맨드 상품으로 업그레이드하여 사이버 먼데이 딜 의 일부로 12월 31일까지 유효하며, 선택한 패키지에서 사용 가능한 탐지 스택에 추가로 최대 200개의 프리미엄 Sigma 규칙을 선택할 수 있습니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스