APT41 해커 그룹, 수개월간 미국 주 정부 네트워크 침입 추적

APT41 공격자들은 작년 5월부터 미국 주 정부 네트워크 6곳 이상을 침해했습니다. APT41은 Log4j의 악명 높은 제로데이를 포함하여, 공개된 웹 애플리케이션의 취약점을 다수 활용했고, 동물을 모니터링하고 보고하기 위해 18개 주에서 사용되는 USAHERDS 웹 애플리케이션의 CVE-2021-44207을 활용했습니다. 최근 공격은 DEADYE라는 다운로더와 같이 후속 침해 도구를 이용하는 것이 특징입니다. 이 다운로더는 LOWKEY 백도어를 실행하는 역할을 합니다. Log4j, 그리고 동물을 모니터링하고 보고하기 위해 18개 주에서 사용되는 USAHERDS 웹 애플리케이션의 CVE-2021-44207을 활용했습니다. 최근 공격은 DEADYE라는 다운로더와 같이 후속 침해 도구를 이용하는 것이 특징입니다. 이 다운로더는 LOWKEY 백도어를 실행하는 역할을 합니다.

APT41 해커 그룹 활동 탐지

귀 조직이 APT41의 피해자 목록에 포함되지 않도록 하기 위해, 다음 규칙을 사용하여 SYSTEM 컨텍스트에서 실행되는 기존 예약 작업을 수정하여 APT41 그룹의 의심스러운 명령을 탐지하십시오:

APT-41의 DEADEYE 드로퍼 지속적 생성 (Cmdline을 통한)

수정된 예약 작업에 의한 의심스러운 APT41 실행 (프로세스 생성 시)

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 제공: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 따라, 주로 예약 작업/작업(T1053) 기술을 활용한 실행 전략을 다루고 있습니다.

이 규칙은 우리의 열심인 Threat Bounty 개발자들이 제공합니다 Kyaw Pyiyt Htet and Nattatorn Chuensangarun, 신흥 위협을 면밀히 감시하며.

사이버 보안에 능숙한 분들은 Threat Bounty program에 참여하여 공동체의 힘을 활용하고 위협 탐지 콘텐츠에 대한 보상을 받을 수 있습니다.

탐지 보기 Threat Bounty 참여

APT41의 미국 정부 침해

APT41은 악명 높은 중국 정부 후원 해킹 그룹입니다. 이 위협 행위자는 TA415, Double Dragon, Barium, GREF, Wicked Spider, Wicked Panda로도 알려져 있습니다.

최근 증거에 따르면, APT41은 2021년부터 최소한 6개의 미국 주 정부 시스템을 침해했으며, 이 여러 달간의 해킹 캠페인이 가까운 미래에 멈출 기미가 없습니다. Mandiant 조사는 발견했습니다 APT41 행위자들이 2021-22년 동안 주로 미국 정부 침해에 집중하며 고위험 대상을 적극적으로 겨냥했다고 합니다. APT41은 위 보고서에 따르면 다수의 참신한 접근 방식, 회피 전략 및 능력을 배포했습니다.

침해된 애플리케이션의 SQL 인젝션 취약점을 통해 네트워크에 접근하면, 공격자는 새로운 제로데이 익스플로잇을 사용해 네트워크를 침입합니다. 그들이 피해자의 네트워크에 들어가면, APT41 행위자들은 정찰 및 자격 증명 수집 활동을 수행합니다. 이 공격 그룹은 또한 피해자의 환경에 맞추어 악성코드를 맞춤 조정하고, 특정 포럼 게시물에서 인코딩된 데이터를 정기적으로 업데이트하여 공격자의 명령 및 제어 서버로부터 명령을 받을 수 있게 했습니다. 역공학 시도를 방해하기 위해, APT는 그들이 사용하는 악성코드를 VMProtect로 상승시켰고, VMProtect로 패키징된 DeadEye를 여러 디스크 섹션에 결합하여 또 다른 분석 방지 방법을 통합했습니다.

현대 사회에서 위협 예방 및 탐지는 중요한 사항입니다. 국가를 후원하는 중국 and 러시아 로부터의 위협 행위자들로부터의 지속적이고 증가하는 압박은 적에 대응하기 위한 효율적인 조치를 요구합니다. 위협 탐지를 더 쉽게, 빠르고, 효율적으로 만들어 주는 산업 최선의 사례와 공유된 전문 지식을 사용하여, SOC Prime의 Detection as Code 플랫폼에 무료로 가입하세요. 플랫폼 은 SOC 전문가들이 탐지 콘텐츠를 공유하고, 최고 수준의 산업 이니셔티브에 참여하며, 그들의 귀중한 입력을 수익화할 수 있도록 합니다.