이란의 COBALT MIRAGE 위협 그룹, 미국 조직을 대상으로 랜섬웨어 공격 시작

이란 정부의 지원을 받는 적들이 전 세계 여러 산업을 대상으로 다양한 공격 벡터를 활용하여 속도를 높이고 있습니다. 악명 높은 APT34 그룹에 의해 시작된 스피어 피싱 캠페인을 빠르게 이어가는 새로운 사이타마 백도어가 퍼지고, 또 다른 이란 연계 해킹 그룹이 미국 기업들을 대상으로 랜섬웨어 공격을 수행하면서 헤드라인을 장식하고 있습니다. 이란 국가의 지원을 받는 COBALT MIRAGE 위협 그룹이 재정적 동기 공격 및 스파이 활동을 수행하고 있으며, 이 활동은 자주 랜섬웨어 작전을 동반합니다.  , another Iran-linked hacking collective hits the headlines performing ransomware attacks against U.S. companies. The Iranian nation-backed COBALT MIRAGE threat group has been observed conducting financially motivated attacks and espionage campaigns with the activity frequently involving ransomware operations.  

COBALT MIRAGE 랜섬웨어 공격 탐지

적극적인 사이버 방어 접근 방식을 채택하여 조직은 빠르게 변화하는 위협 환경에 발 맞출 수 있습니다. COBALT MIRAGE 침해에 대항하여 인프라를 보호하려면, SOC Prime의 플랫폼에서 우리의 prolific Threat Bounty 개발자 Kaan Yeniyol이 제작한 새로운 Sigma 규칙을 출시했습니다. 이 규칙은 피해자 환경 내에서 초기 발판을 얻기 위한 적의 스캔 및 악용 활동을 탐지합니다:

손상된 시스템에서 사용자 계정을 생성하여 의심스러운 COBALT MIRAGE 랜섬웨어 실행 (프로세스_생성 통해)

위에서 언급된 Sigma 규칙은 23개의 SIEM, EDR 및 XDR 솔루션 전반에 걸쳐 사용할 수 있으며, MITRE ATT&CK® 프레임워크에 매핑되어, 실행 및 지속성 전술을 해당 커맨드 및 스크립팅 인터프리터 (T1059)와 계정 생성 (T1136) 기술로 다룹니다. 

랜섬웨어 캠페인이 더욱 발전하고 확산됨에 따라, 사이버 보안 전문가는 이를 견디기 위한 보다 효율적인 방법을 찾고 있습니다. 클릭하여 탐지 보기 버튼을 누르면 랜섬웨어 공격을 포함한 중요한 위협에 대한 광범위하고 맥락이 풍부한 탐지 알고리즘에 접근할 수 있습니다. 개별 사이버 보안 연구원, 탐지 엔지니어 및 위협 사냥꾼들이 Threat Bounty 프로그램에 참여하여 전문 기술을 통해 경제적 이익을 얻을 수 있는 기회를 제공합니다.

탐지 보기 Threat Bounty에 가입하세요

COBALT MIRAGE 활동: 사이버 공격 분석

COBALT MIRAGE 침해는 적의 행동 패턴과 목표에 따라 두 개의 클러스터로 나뉩니다. 첫 번째 클러스터는 BitLocker와 DiskCryptor를 활용하여 재정적 이익을 위해 랜섬웨어 캠페인을 추진하며, 두 번째 클러스터는 주로 초기 접근 권한을 확보하고 정보를 수집하는 사이버 공격에 특화되어 있습니다.  fall into two clusters based on the adversary behavior patterns and goals. The first one leverages BitLocker and DiskCryptor for ransomware campaigns aimed at financial gain, while the second primarily specializes in cyber-attacks to gain initial access and collect intelligence. 

COBALT MIRAGE 공격은 스캔 및 악용 활동을 포함했습니다 2021년 악명 높은 캠페인으로 Fortinet FortiOS의 결함을 활용하고 ProxyShell and 과 과 취약점을 악용하여 피해자의 네트워크에 원격 접근을 시도했습니다. 이상의 공격들이 이어지면서 CISA와 FBI는 관련된 공동 사이버 보안 경고를

발표하였으며, 이는 이란 지원 해킹 그룹이 손상된 시스템에 초기 접근을 얻고 랜섬웨어를 배포하는 경우가 COBALT MIRAGE로 귀속될 수 있음을 미국 기관에 통지했습니다. 사이버 보안 연구원에 따르면, COBALT MIRAGE 활동은 피싱을 주요 공격 벡터로 활용하여 초기 접근을 얻으려는 것으로 추적된 또 다른 이란 지원 해킹 그룹인 COBALT ILLUSION과 연결될 수 있으며, 추가적으로 COBALT MIRAGE 활동의 몇몇 흔적은 이란 연계 해킹 그룹인 PHOSPHOROUS와 TunnelVision의 행동 패턴과 유사한 것으로 식별되었습니다. 

위협 탐지 연구 및 콘텐츠 개발 시간을 절약하면서 사이버 방어 능력을 강화할 새로운 방법을 찾고 계십니까? SOC Prime의 Detection as Code 플랫폼 에 가입하여 최신 사이버 위협 인텔리전스로 강화되고 MITRE ATT&CK®에 맞춘 탐지 콘텐츠에 접근하여 사이버 보안 효율성을 향상시키십시오.