에너제틱 베어 사이버 공격 탐지

지난주에 연방 수사 국과 사이버보안 및 인프라 보안국이 공동으로 보안 권고문 러시아 국가 지원 사이버 스파이 단위의 최근 발견 된 사이버 공격과 관련이 있습니다. Energetic Bear (또는 Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex, Koala로도 알려짐)는 이번 미국 선거에 적극적으로 관심을 갖고 있습니다. 지난 9개월 동안 이 그룹은 문서에 따르면 주, 지방, 영토 및 부족 정부 네트워크에 있는 선거 정보를 보유한 여러 네트워크와 항공 네트워크를 공격했습니다. 적어도 두 건의 경우 그들의 공격이 성공적이었습니다. 일부 공격은 오랫동안 알려져 있었지만 대부분은 보안 연구자들의 레이더를 벗어났습니다.

Energetic Bear에 의해 악용된 취약점들

공격 동안 Energetic Bear는 네트워킹 장비를 손상시키고 내부 네트워크에 침투하여 민감한 데이터를 발견하고 유출하기 위해 패치가 제공되는 상대적으로 신선한 취약점을 악용했습니다. 문서에는 Citrix 디렉토리 트래버설 버그 (CVE-2019-19781), Microsoft의 Exchange 원격 코드 실행 취약점 (CVE-2020-0688), Fortinet VPN 취약점 (CVE-2018-13379), 그리고 Exim SMTP 취약점 (CVE 2019-10149)가 언급됩니다. 공격자들은 또한 Zerologon Windows 서버의 취약점 (CVE-2020-1472)을 악용하여 Windows Active Directory 자격 증명을 수집하고 이를 횡적 움직임에 사용합니다.

그들의 공격을 밝히기 위한 탐지 콘텐츠

AA20-296A 알림에서 보고된 Energetic Bear 공격에 대해 사전 방어할 수 있도록 하기 위해 도구, 기술 및 악용된 취약점을 다루는 가장 관련성 있는 탐지 콘텐츠의 전체 목록을 준비했습니다. 모든 콘텐츠는 MITRE ATT&CK® 프레임워크에 직접 매핑되어 있으며 관련 참조 및 설명을 포함합니다:

보고된 러시아 국가 지원 그룹의 활동을 다루는 SOC 콘텐츠를 보려면 링크를 따라가세요:

• AA20-296A에서 보고된 Energetic Bear 그룹에 기인한 공격을 다루는 콘텐츠
• AA20-296A에서 보고된 러시아 위협 행위자들의 기술들 

보시다시피, 고급 위협 행위자들에게 중요한 취약점과 가용한 악용들이 특출한 관심 대상입니다. 이 기사에서 언급된 다섯 개의 취약점 중 세 가지는 다른 사이버 보안 권고문 에 따르면 중국 국가 지원 행위자들에 의해서도 적극적으로 악용됩니다. AA20-296A 알림에서 언급된 취약점을 다루기 위해 필터링된 탐지 콘텐츠의 전체 목록을 확인하세요:

• AA20-296A에서 보고된 CVE 악용 탐지를 위한 콘텐츠

모든 관련 기술, 위협 행위자 및 취약점을 단일 검색 결과로 보려면 이 링크를 확인하세요:

• APT 그룹의 도구 및 기술, 악용된 취약점을 다루는 콘텐츠 

관련된 TTP에 대한 보다 향상된 분석을 위해, MITRE ATT&CK 페이지 를 Threat Detection Marketplace에서 방문하거나 MITRE ATT&CK 맵 를 웹사이트에서 확인하세요. 

위협 감지 및 응답 속도를 강화하여 일상적인 SOC 작업을 원활하게 하기 위해 연속 보안 인텔리전스를 활용하세요 연속 콘텐츠 관리.

SOC Prime Threat Detection Marketplace를 사용해 볼 준비가 되었나요? 무료 가입 또는 Threat Bounty Program에 참여 하여 자신의 콘텐츠를 제작하고 Threat Detection Marketplace 커뮤니티와 공유하세요.