SEABORGIUM 캠페인 탐지: 유럽 전역의 정부, 군대 및 NGO를 목표로 하는 사이버 스파이 그룹

Microsoft 위협 인텔리전스 센터 (MSTIC)의 사이버 보안 전문가들이 NATO 국가 내 목표들을 대상으로 한 장기간 사이버 스파이 활동을 책임지는 악의적인 APT의 인프라를 중단시켰습니다. SEABORGIUM이라는 이름이 붙은 이 그룹은 방위산업체, 비정부기구(NGO), 정부 간 국제기구(IGO), 싱크탱크, 교육 기관을 대상으로 피싱, 데이터 도난 및 해킹과 유출 캠페인을 여러 차례 실시했으며, 이는 러시아 정부를 대리하여 수행되었다고 추정됩니다.

SEABORGIUM 피싱 캠페인 탐지

APT 공격의 첨단성과 규모가 증가함에 따라, 침입을 사전에 방지하기 위해 적시에 탐지 콘텐츠를 갖추는 것이 중요합니다. 다음을 확인하세요. Sigma 규칙 아래는 우리의 우수한 위협 현상금 개발자 Nattatorn Chuensangarun 이 제공하는 SEABORGIUM APT와 관련된 해킹과 유출 캠페인을 식별하기 위한 것입니다. Sigma 규칙 외에도, MITRE ATT&CK 참조, CTI 링크 및 문맥적 메타데이터를 통해 공격 표면을 포괄적으로 이해할 수 있습니다.

프록시를 통한 해킹과 유출 캠페인에서 SEABORGIUM APT가 피싱을 통해 실행될 가능성

위의 Sigma 규칙은 19가지 SIEM, EDR 및 XDR 형식으로 번역되었으며 MITRE ATT&CK® 프레임워크 의 초기 접근 전략과 피싱(T1566)를 주요 기법으로 사용하여 일치합니다.

APT와 관련된 악성 활동을 탐지하기 위한 Sigma 규칙의 전체 목록을 얻으려면 탐지 및 사냥 버튼을 누르세요. 사이버 방어자들은 또한 각종 문맥 정보를 담은 CTI 링크, MITRE ATT&CK 참조 등과 함께 관련 탐지를 강화한 우리의 사이버 위협 검색 엔진을 탐색할 수 있습니다. 위협 문맥 탐색 버튼을 눌러 확인하세요!

탐지 및 사냥 위협 문맥 탐색

SEABORGIUM은 누구인가?

MSTIC의 조사에 따르면, SEABORGIUM은 적어도 2017년부터 활동 중인 러시아 국가 후원 APT 그룹입니다. 분석 결과 COLDRIVER APT와 Callisto 그룹과 전술 및 도구에 상당한 유사성을 보이며, 이는 모두 모스크바의 정치적 이익과 밀접하게 맞물려 있습니다.

러시아 국가를 대리하여 SEABORGIUM APT는 유럽 전역의 방위산업체, 정부 기관, 비정부기구 및 싱크탱크를 대상으로 한 여러 장기 악성 캠페인의 책임이 있습니다.

일반적으로 적대자들은 다양한 사칭 기술, 피싱 및 사회 공학의 도움을 받아 점진적이고 조심스럽게 표적 조직에 침투합니다. 특히 SEABORGIUM APT는 가짜 소셜 미디어 계정을 통해 피해자의 신원을 점검하기 위해 많은 노력을 기울입니다. 이 가짜 계정들은 이후 악의적인 PDF 첨부 파일이나 OneDrive에 호스팅 된 문서로 연결되는 피싱 링크를 배포하는 데 사용됩니다. 표적이 덫에 걸려 첨부 파일을 열면 피싱 프레임워크인 EvilGinx가 실행되는 웹페이지로 리디렉션되어 사용자의 자격 증명을 얻을 수 있습니다. 피해자의 자산에 접근한 후 SEABORGIUM은 지능 데이터를 탈취하고 관심 계정을 검색하며 민감 정보를 덤프합니다.

사이버 보안 전문가들은 무료로 SOC Prime의 Detection as Code 플랫폼에 가입하여 최신 위협을 탐지하고 로그 소스 및 MITRE ATT&CK 적용 범위를 개선하며, 조직의 사이버 방어 역량을 향상시킬 수 있습니다. 유능한 탐지 엔지니어들은 위협 현상금 프로그램 에 참여하여, 지속적으로 나타나는 위협에 맞서 높은 기준의 사이버 보안 프로세스를 달성하고 회복력을 강화하기 위한 협력을 공유할 수 있습니다. – SOC Prime의 크라우드소싱 이니셔티브입니다.