어스 심나바즈(APT34) 공격 탐지: 이란 해커가 UAE와 걸프 지역을 표적으로 윈도우 커널 취약점을 이용
목차:
북한 APT 그룹이 남동아시아를 대상으로 하는 사이버 스파이 활동이 급증하는 가운데 SHROUDED#SLEEP 캠페인에 따라, 사이버 보안 전문가들은 이란과 연계된 해커들이 조직적으로 수행하는 새로운 공격의 물결에 대해 경고하고 있습니다. 이 새롭게 발견된 캠페인은 UAE와 걸프 지역의 조직에 대한 스파이를 주로 다루고 있습니다. Earth Simnavaz APT로 알려진 이 그룹은 ( APT34 또는 OilRig이라고도 함), 고급 백도어 변종을 활용하여 Microsoft Exchange 서버를 악용하고 로그인 자격 증명을 탈취합니다. 또한, 이들은 새롭게 발견된 Windows Kernel의 심각한 취약점(CVE-2024-30088)을 통해 권한 상승을 수행하여 시스템에 탐지되지 않은 채 침투할 수 있는 능력을 더욱 강화하고 있습니다.
Earth Simnavaz (APT34) 공격 탐지
2024년에는 중국, 북한, 이란, 러시아 등의 전 세계 지역에서 APT 그룹이 동적인 혁신적 공격 능력을 크게 증가시켜, 글로벌 사이버 보안 환경에 상당한 도전 과제를 제기하였습니다. 초기 단계에서 잠재적인 악의적인 활동을 탐지하기 위해 사이버 방어자들은 SOC Prime Platform을 통한 집단 사이버 방어에 의존할 수 있습니다 세계 최대의 탐지 규칙 및 실행 가능한 위협 인텔리전스 라이브러리를 제공하며.
” 탐지 탐색 ” 버튼을 눌러, UAE 및 걸프 지역에 대한 최신 Earth Simnavaz 캠페인을 다루는 엄선된 Sigma 규칙 모음을 탐색하십시오. 이 규칙은 30개 이상의 SIEM, EDR, 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 와 매핑되어 위협 조사를 매끄럽게 합니다. 또한, 탐지는 참고 자료, 공격 타임라인, 분류 및 감사 권고 사항 등을 포함하고 있는 광범위한 메타데이터로 풍부하게 작성되어 있습니다. CTI references, attack timelines, triage & audit recommendations, and more.
더 나아가, Earth Simnavaz (APT34)의 활동을 회고적으로 분석하고 그룹의 진화하는 TTP에 대한 최신 정보를 얻기 위해, 사이버 방어자들은 더 넓은 탐지 규칙 모음에 접근할 수 있습니다. “APT34” 태그를 사용하여 위협 탐지 마켓플레이스를 탐색하거나 다음 링크를 사용하여 APT34 규칙 모음을 직접 탐색 하십시오.
Earth Simnavaz aka APT34 공격 분석
국가 지원 해킹 그룹으로 추적되는 Earth Simnavaz aka APT34 와 OilRig는 CVE-2024-30088, 이전에 패치된 Windows Kernel의 권한 상승 취약점을 UAE 및 광범위한 걸프 지역에 대한 사이버 스파이 작전에서 활용하는 것으로 관찰되었습니다. Trend Micro는 Earth Simnavaz의 최신 활동에 대한 연구를 수행하였으며, 이 그룹의 공격 도구 키트의 진화와 UAE의 중요 인프라 조직에 가중되는 위협을 드러내는 새로운 세부사항을 공개하였습니다. 연구자들에 따르면, APT34 그룹과 연계된 사이버 공격이 크게 증가하였으며, 중동 지역의 정부 부문에 주로 집중되어 있습니다. into Earth Simnavaz’s latest activities revealing new details about the evolution of the group’s offensive toolkit and the pressing threat it presents to the critical infrastructure organizations in the UAE. According to researchers, cyber-attacks linked to the APT34 group have significantly increased, focusing on government sectors in the Middle East.
최근의 공격에서는, Earth Simnavaz는 현장 Microsoft Exchange 서버를 공격하여 계정 및 암호를 포함한 민감한 자격 증명을 탈취하는 새로운 고급 백도어를 사용합니다. 이 그룹은 또한 평문 암호를 추출할 수 있도록 하는 투하된 암호 필터 정책 DLL을 악용하여, 그들의 진화하는 전술과 조직에 대한 지속적인 위협을 강조하고 있습니다.
진보된 적의 도구 키트에는 또한 ngrok RMM 도구를 실험하는 그룹이 포함되어 있으며, 이를 통해 침투된 시스템에 대한 통제를 유지하기 위해 트래픽을 터널링할 수 있습니다. 게다가, Earth Simnavaz는 사용자 지정 .NET 도구, PowerShell 스크립트, IIS 기반의 멀웨어를 혼합하여 그들의 활동을 일반 네트워크 트래픽 내에 위장하여 전통적인 탐지 방법을 회피합니다.
초기 공격 단계에서, 적들은 취약한 웹 서버를 무기화하여 웹 쉘을 배포한 후, 네트워크 내에서 지속성과 횡적 이동을 유지하기 위해 ngrok 유틸리티를 사용합니다. 그 후, 공격자들은 특권 상승 결함, CVE-2024-30088을 악용하여 STEALHOOK 백도어를 전달하며, 이것은 Exchange 서버를 통해 도난 데이터를 공격자가 제어하는 주소로 이메일 첨부파일로 유출합니다.
APT34가 중동 지역에서 정부 부문을 대상으로 한 사이버 스파이 및 데이터 절도를 과점적으로 집중하면서, 그룹의 새로운 위협에 대한 방어를 강화하는 것이 위험에 처한 조직에 필수적입니다. 의존하십시오 SOC Prime의 완전한 제품군 을(를) 통해 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위해 귀하의 조직의 사이버 보안 태세를 미래지향적으로 최적화하면서, 자원 효율성을 향상시키십시오.
