KNOTWEED 활동 감지: CVE-2022-22047 취약점 및 다수의 Windows 및 Adobe 제로데이 공격을 활용한 유럽 민간 부문의 공격 행위자 (PSOA)

2022년 7월 27일, Microsoft 사이버 보안 연구원들은 공지문을 발표했습니다 최근 공개된 유럽 민간 부문의 공격자(PSOA) KNOTWEED의 악성 활동을 관찰하여, Windows 및 Adobe 제로데이 취약점을 활용하여, 최근 패치된 CVE-2022-22047 취약점을 포함하는 행위라고 추적했습니다. 연구에 따르면, 위협 행위자들은 유럽 및 중미의 조직들을 대상으로 새로운 Subzero 악성 소프트웨어를 활용한 사이버 공격을 수행하고 있으며, 이 소프트웨어는 그들의 악성 활동에 특화되어 제작되었습니다. 

KNOTWEED 악성 소프트웨어 및 관련 활동, CVE-2022-22047 악용을 이용한 사이버 공격 탐지

KNOTWEED 위협 행위자들과 그들이 사용하는 악성 소프트웨어 샘플로부터의 적대적 활동에 대비하여 미리 방어하는 방법을 찾고 있는 사이버 보안 전문가들은, SOC Prime의 플랫폼이 제공하는 배치된 Sigma 규칙을 통해 혜택을 얻을 수 있습니다. 모든 행동 기반 탐지 규칙과 사냥 쿼리는 아래 링크를 통해 등록된 SOC Prime 사용자들에게 제공됩니다:

KNOTWEED의 악성 활동 및 관련 악성 소프트웨어를 탐지하기 위한 행동 기반 Sigma 규칙  

이러한 탐지 알고리즘은 업계 최고의 SIEM, EDR, XDR 형식으로 변환 가능하며, MITRE ATT&CK® 프레임워크 에 맞춰 조정됨으로써 향상된 사이버 보안 효율성을 제공합니다. 탐지 콘텐츠 검색을 간소화하기 위해, 앞서 언급된 Sigma 규칙은 적대적 활동에 기반하여 “KNOTWEED” 태그로 이용 가능합니다. 

위의 Sigma 규칙은 사이버 수호자들이 행동 기반 탐지 패턴을 식별하는 데 도움을 줄 수 있습니다:

• 관련된 해킹 단체에 의해 시작된 타겟 캠페인에 사용된 악성 소프트웨어와 연관됨
• KNOTWEED 위협 행위자들의 악성 활동과 연결됨

또한, 보안 전문가들은 검증된 사냥 콘텐츠를 사용하여 KNOTWEED 적대적 활동과 관련된 위협을 즉시 검색할 수 있습니다. SOC Prime의 Quick Hunt 모듈.

또한, SOC Prime의 Detection as Code 플랫폼을 통해 위협 헌터와 사이버 위협 인텔리전스 전문가들이 Uncoder.CTI를 사용하여 맞춤형 IOC 쿼리를 생성할 수 있습니다. 이 SOC Prime 모듈을 활용하면, 선택한 SIEM이나 XDR 인스턴스에서 실행할 준비가 된 환경 요구에 맞춰 조정된 IOC 쿼리를 몇 번의 클릭으로 생성할 수 있습니다. 아래 링크를 통해, 등록된 SOC Prime 사용자는 조직의 환경에서 KNOTWEED 적대적 활동과 관련된 침해 지표 전체 목록을 깊이 탐색하고 침입의 잠재적인 흔적을 즉시 확인할 수 있습니다:

Uncoder.CTI를 사용한 KNOTWEED 활동 관련 맞춤형 IOC 쿼리 생성용 침해 지표

연례에 따르면 SOC Prime의 Detection as Code 혁신 보고서, 취약점 악용의 철저한 탐지는 2021년 상위 콘텐츠 우선순위 중 하나로 선정되었으며, 관련 위협의 급증과 제로데이 악용의 극적인 증가로 인해 2022년에도 선두를 유지하고 있습니다. 신종 위협을 파악하고 제로데이 공격에 효과적으로 방어하려면, 제로데이 악용의 사전 탐지를 위한 포괄적인 Sigma 규칙 목록을 얻기 위해 아래 탐지 및 사냥 버튼을 클릭하십시오. 또한, 보안 전문가들은 SOC Prime의 사이버 위협 검색 엔진을 탐색하고 MITRE ATT&CK 및 CTI 참조, CVE 설명, 그리고 더 관련성 있는 메타데이터에 즉시 도달하여 KNOTWEED 악성 활동과 관련된 포괄적인 위협 컨텍스트에 대한 통찰을 얻을 수 있습니다.

탐지 및 사냥 위협 컨텍스트 탐색

KNOTWEED는 누구인가? CVE-2022-22047 및 이 그룹에 속한 다른 제로데이의 악용을 조사한 사이버 공격 분석

The Microsoft에 의해 게시된 연구는 KNOTWEED의 내부 작동 방식을 자세히 설명하며, 해킹 단체를 DSIRF와 연결시켰습니다. 오스트리아에 위치한 이 기업은 글로벌 조직에 정보 연구 및 포렌식 서비스를 제공함으로써 합법성을 가장하고 있습니다. 하지만 증거에 따르면, 이 회사는 또한 영국, 오스트리아, 파나마의 조직을 목표로 하는 사이버 용병 그룹으로 활동하고 있습니다. Microsoft 사이버 보안 연구원들은 DSIRF가 Subzero 악성 소프트웨어 도구를 개발 및 배포와 관련이 있다고 밝혔습니다.

새로 발견된 PSOA는 두 가지 사업 모델을 사용합니다: 서비스 액세스와 용병 해킹. KNOTWEED 위협 행위자들은 제3자에게 Subzero 악성 소프트웨어를 배포하면서도, 직접 타겟 사이버 공격을 시작합니다. 위협 행위자들은 적어도 2021년 이후로 공격적 사이버 캠페인을 진행해 왔으며, Windows와 Adobe를 적극적으로 활용하여 제로데이 악용을 통해 여러 산업 부문을 타겟으로 한 스파이웨어 공격을 실행하고 있습니다.

조사에 따르면, Subzero 페이로드는 광범위한 고급 기능을 가진 정교한 악성 소프트웨어입니다. 그 기능 세트에는 데이터 탈취, 키 입력 로깅, 스크린샷 캡처 및 다양한 C2 기능이 포함됩니다.

제로데이 Windows 결함(CVE-2022-22047)을 사용한 권한 상승 외에도, KNOTWEED는 2021년에 CVE-2021-31199, CVE-2021-31201, CVE-2021-28550, CVE-2021-36948로 할당된 보안 취약점을 활용했습니다.

MITRE ATT&CK® 컨텍스트

KNOTWEED 적대적 활동 뒤의 MITRE ATT&CK 컨텍스트를 탐색하고 관련 행동 패턴에 대한 통찰을 얻기 위해, 모든 전용 Sigma 규칙은 ATT&CK에 매핑되어, 아래에 설명된 해당 전술 및 기술을 다루고 있습니다:

가입 SOC Prime의 Detection as Code 플랫폼 세계 최대 규모의 큐레이션된 Sigma 규칙 컬렉션에 대한 실시간에 가까운 액세스를 통해 위협 탐지 기능을 가속하고 사냥 속도를 높이십시오. 열망하는 탐지 엔지니어 및 위협 헌터는 위협 현상금 프로그램 에 참여하여 뛰어난 사이버 보안 사고와 협력하며 미래의 사이버 방어를 대비할 수 있는 기회를 얻을 수 있습니다. 고품질의 탐지 콘텐츠를 작성하고 산업 동업자들과 공유하며, 기여에 대한 반복적인 금전적 보상을 받으십시오.