MagicWeb 탐지: NOBELIUM APT, 정교한 인증 우회 사용
목차:
악명 높은 APT 그룹으로 추적되는 NOBELIUM (일명 APT29, Cozy Bear, The Dukes)이 악의적인 트릭 세트에 새 위협을 추가합니다. 2020년 텍사스 소재의 SolarWinds 회사 해킹 사건으로 유명해진 이 위협 행위자는 미국, 유럽, 중앙 아시아 전반에 걸쳐 공공, 민간 및 비정부 부문에 영향을 미치는 매우 활발한 범죄 조직으로 남아 있습니다.
최신 캠페인에서 적대 세력은 감염된 환경에 대한 접근을 유지하기 위해 MagicWeb 악성 코드를 배포합니다.
MagicWeb 악성 코드 탐지
시스템이 NOBELIUM 해커에게 무방비 상태가 되지 않도록하려면, 위협 바운티 개발자인 Aytek Aytemur가 릴리스한 Sigma 규칙을 다운로드하세요. 이 규칙은 NOBELIUM이 GAC에서 비마이크로소프트 DLL을 열거하는 데 사용하는 의심스러운 .dll 로딩 및 PowerShell 명령줄을 탐지합니다:
GAC의 비마이크로소프트 DLL을 열거함으로써 실행되는 의심스러운 NOBELIUM (cmdline 경유)
이 탐지는 다음의 SIEM, EDR & XDR 플랫폼에 대한 번역이 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro, Snowflake.
이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 주요 기술로 Command and Scripting Interpreter (T1059)와 함께 실행 작전을 다루고 있습니다.
SOC Prime Platform의 Threat Detection Marketplace 저장소에서 NOBELIUM APT와 관련된 탐지 콘텐츠 업데이트를 팔로우하세요. 아래 Detect & Hunt 버튼을 눌러 26개 이상의 SIEM, EDR, XDR 플랫폼과 통합된 세계 최초의 협업 사이버 방어, 위협 탐지 및 발견 플랫폼에 무제한 액세스하세요. SOC Prime Platform에 처음이신가요? 탐지 코드를 제공하는 업계 선두 공급업체인 여기에서 방대한 컬렉션의 Sigma 규칙을 관련 위협 컨텍스트, CTI 및 MITRE ATT&CK 참고자료, CVE 설명을 통해 탐색하고 위협 탐지 트렌드 업데이트를 받으세요. 등록 필요 없음! 더 알아보려면 Explore Threat Context 버튼을 눌러보세요.
Detect & Hunt Explore Threat Context
MagicWeb 설명
NOBELIUM APT는 그들의 공격 전반에서 정교한 도구를 사용하는 것으로 알려져 있습니다. MagicWeb 백도어는 그들의 무기고에서 최신 발견된 것으로, Microsoft 보안 연구원들에 의해 자세히 설명되었습니다. 이 악성 코드는 공격자가 손상된 환경에 대한 지속적인 액세스를 유지할 수 있도록 하며, 관리자의 크리덴셜을 악용하여 AD FS 시스템에 접근한 후 합법적인 DLL을 악성 DLL로 대체합니다.
Azure Active Directory 클라우드와는 달리 온프레미스 AD 서버를 지칭하는 Active Directory Federation Server (AD FS)는 MagicWeb 공격의 목표 중 하나인 비즈니스 아이덴티티 시스템입니다. Microsoft 연구자들의 이러한 공시는 AD FS의 격리 및 접근 제한의 중요성을 강조합니다.
MagicWeb 기반 사고에 대한 조사에서는 FoggyWeb 악성 코드와의 놀라울 정도로 유사한 점이 드러났으며, 이는 2021년 봄 이래로 NOBELIUM 해커의 무기의 일부였습니다.
새로운 위협이 쏟아지는 가운데 사이버 보안 산업과 관련된 사건을 최신 상태로 유지하는 것이 중요합니다. 최신 보안 뉴스와 탐지 콘텐츠 릴리스 업데이트를 위해 SOC Prime 블로그 를 팔로우하세요. 탐지 콘텐츠를 배포하면서 협력적인 사이버 방어를 홍보할 수 있는 신뢰할 수 있는 플랫폼을 찾고 있습니까? 커뮤니티와 함께 Sigma 및 YARA 규칙을 공유하고, 위협 조사를 자동화하며, 보안 운영을 강화하기 위해 28,000명 이상의 보안 전문가 커뮤니티로부터 피드백과 검증을 받는 SOC Prime의 크라우드소싱 프로그램 에 참여하세요.
