Forest Blizzard aka Fancy Bear Attack Detection: russian-backed Hackers Apply a Custom GooseEgg Tool to Exploit CVE-2022-38028 in Attacks Against Ukraine, Western Europe, and North America
목차:
악명 높은 사이버 스파이 해킹 단체로 추적되는 포레스트 블리자드 (일명 Fancy Bear, STRONTIUM, 또는 APT28)은 윈도우 프린트 스풀러의 중요한 CVE-2022-38028 취약점을 무기화하기 위해 GooseEgg이라고 불리는 새로운 맞춤형 도구를 실험하고 있습니다. 적들은 다양한 산업 분야의 글로벌 조직을 대상으로 한 여러 지능형 정보 수집 공격을 실행하고 있습니다. 성공적인 권한 상승 및 자격 증명 도난은 적들에게 RCE를 수행하고, 악성 코드를 배포하며, 추가 감염을 진행할 수 있는 초록불을 줍니다.
최신 포레스트 블리자드 사이버 스파이 작전 탐지하기
전 세계적으로 정치적 긴장이 고조됨에 따라 기하급수적으로 증가하는 APT 위협으로 인해 사이버 방어자들은 적시에 정교한 공격을 식별할 수 있는 신뢰할 수 있는 솔루션을 찾고 있습니다. 특히 러시아가 후원하는 여러 APT 단체들은 우크라이나를 새롭고 악의적인 TTP의 시험 대상으로 사용하면서 활발히 활동하고 있습니다. 더 나아가, 검증된 방법들이 모스크바 정부의 전 세계 주요 관심 대상에 대해 활용되고 있습니다.
최근 포레스트 블리자드(일명 Fancy Bear/APT28) 캠페인은 이 추세를 더욱 강화하며, 우크라이나, 서유럽, 북미의 조직들을 공격 대상에 올리고 있습니다. 공동 사이버 방어를 위한 SOC Prime 플랫폼은 보안 전문가들이 이 악명 높은 사이버 스파이 작전과 관련된 악의적인 활동을 식별할 수 있도록 선별된 시그마 룰을 통합합니다. 다음의 탐지 탐색하기 버튼을 클릭하여 관련 탐지 그룹으로 바로 접속하세요.
모든 규칙은 28개의 SIEM, EDR, 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다.또한 탐지들은 관련 위협 인텔과 공격 타임라인, 메타데이터로 풍부하게 제공되어 위협 조사를 원활하게 해줍니다.
포레스트 블리자드 TTP를 소급 분석하기 위한 고품질 탐지 콘텐츠를 찾고 있는 사이버 보안 전문가들은 “Forest Blizzard” 태그를 사용하여 SOC Prime의 위협 탐지 마켓플레이스를 탐색하거나 이 링크를 따르세요.시그마 규칙 라이브러리에는 CVE-2022-38028 이용 시도와 관련된 탐지들이 포함되어 있으며, 여기.
포레스트 블리자드 공격 분석: CVE-2022-38028을 악용하는 사이버 스파이 캠페인에 대한 인사이트
마이크로소프트 위협 인텔리전스 최근 진행 중인 적의 캠페인에 대한 인사이트를 공유했습니다. APT28, 포레스트 블리자드, Pawn Storm, Sofacy Group, 또는 STRONTIUM), 러시아 군사 정보 기관의 유닛 26165에 속하는 GRU 지원 그룹입니다. 포레스트 블리자드는 4년 이상 동안, 그룹의 적대 무기고에서 커스텀 도구인 GooseEgg를 활용하여 Windows 프린트 스풀러(CVE-2022-38028)의 권한 상승 취약점을 활용하기 위해 자바스크립트 제약 파일을 수정하고 시스템 수준 권한으로 실행했습니다.
Fancy Bear는 잘 알려진 취약점, 특히 마이크로소프트 제품의 취약점을 무기화하여 주로 정보 수집에 중점을 두지만, 그것에 국한되지 않는 악성 활동을 위해 표적에 침입한 이력이 있습니다. 악명 높은 러시아 지원 정부 그룹은 러시아의 전면 침공 이후 우크라이나와 그 동맹국을 지속적으로 표적으로 삼고 있으며, 이는 2023년 말 우크라이나 공공 부문 기관과 폴란드의 여러 기관을 대상으로 한 피싱 캠페인에서 잘 드러납니다. CERT-UA가 보고한.
계속되고 있는 장기 캠페인에서 적들은 우크라이나, 서유럽, 북미의 공공 및 민간 부문 조직을 대상으로 하고 있습니다. GooseEgg를 활용함으로써 위협 행위자는 표적 시스템에 대한 권한을 상승시키고, 민감한 데이터를 도난하며, RCE, 백도어 배포, 및 영향을 받은 네트워크 내에서의 횡적 이동을 초래할 수 있는 공격 개발을 계속 진행할 수 있습니다.
포레스트 블리자드는 전략적 정보 목표에 매우 집중하고 있으며, 이는 다른 GRU 제휴 그룹인 Seashell Blizzard(IRIDIUM)와 Cadet Blizzard (DEV-0586)와는 구별됩니다. 러시아 관련 해킹 그룹들은 PrintNightmare(이다.CVE-2021-34527 및 CVE-2021-1675)라는 취약점을 무기화했지만, 포레스트 블리자드의 공격적 도구 모음에서 GooseEgg의 공개는 사이버 최전선에서 방어자들에게 주의와 초고속 대응을 요구합니다.
일반적으로 GooseEgg는 해당 GooseEgg 실행 파일을 실행하고 예약 작업을 생성하여 지속성을 구축하는 배치 스크립트와 함께 배포됩니다. GooseEgg 바이너리는 명령어를 제공하여 Windows 프린트 스풀러 버그의 악용을 활성화하고 권한이 상승된 DLL 또는 실행 파일을 실행합니다. 또한 ‘whoami’ 명령을 활용하여 악용이 성공적으로 활성화되었음을 확인합니다.
Microsoft는 관련 보안 업데이트 에서 CVE-2022-38028을 해결했습니다. 이 결함을 처음 보고한 미국 NSA에게 공로가 주어졌습니다. 다른 잠재적인 CVE-2022-38028 완화 단계로, 연구자들은 도메인 컨트롤러에서 서비스를 비활성화하고 적의 침입 위험을 최소화하기 위해 선제적인 사이버 방어 전략을 채택할 것을 권장합니다.
러시아가 지원하는 포레스트 블리자드, 일명 Fancy Bear 그룹과 관련된 공격이 증가함에 따라 글로벌 조직을 대상으로 한 최신 활동, 특히 맞춤형 GooseEgg 악성 코드를 사용하는 활동으로 인해 보안 팀은 대규모 방어 강화에 열중하고 있습니다. Attack Detective, 고급 SaaS 자동화된 위협 사냥 및 탐지 스택 검증을 통해 조직은 탐지 커버리지의 블라인드 스팟을 효과적으로 식별하고, 실시간 공격 표면 가시성을 확보하며, 적들이 공격을 감행하기 전에 침입을 찾아낼 수 있습니다.
