MuddyWater APT, 스크린커넥트를 사용하여 중동 정부를 감시
목차:
Anomali의 보안 전문가들은 밝혔다 아랍에미리트(UAE)와 쿠웨이트 정부를 목표로 한 사이버 스파이 작전을. 이 악의적인 캠페인은 MuddyWater(스태틱 키튼, 머큐리, 씨드웜)로 알려진 이란 국가지원자에 의해 시작되었습니다. 연구원들에 따르면, 적들은 정식 소프트웨어 도구인 ConnectWise Control(구 ScreenConnect)을 사용하여 손상된 네트워크를 가로질러 횡으로 이동하고 피해자에게 악성코드를 전달했습니다.
MuddyWater 공격 킬 체인
새로운 MuddyWater 캠페인은 UAE와 이스라엘의 정치적 결정을 방해하려는 지속적인 악성 활동의 다음 단계입니다. 2020년 동안 두 정부 간의 관계는 정상화 방향으로 발전하여 지역의 긴장이 고조되는 배경이 되었습니다. 이란 관련 해커들은 쿠웨이트 외교부(MOFA)를 지속적으로 공격했고, 그들은 사우디아라비아와 이란 사이의 중재 과정을 주도하겠다는 의사를 발표한 후에 공격을 받았습니다. 또한, 2020년 10월 MuddyWater 위협 행위자들은 퀵샌드 작전 을 시작하여 주요 이스라엘 공급업체를 탈취했습니다.
UAE와 쿠웨이트 정부 기관에 대한 최신 MuddyWater 공격은 미끼 문서가 첨부된 피싱 이메일로 시작됩니다. 이 문서는 사용자에게 클릭 시 OneHub 클라우드 스토리지로 리디렉션되는 악성 다운로더 링크를 따르도록 합니다. 거기에 호스팅된 두 개의 별도 ZIP 파일은 UAE-이스라엘 관계에 대한 보고서와 장학금 공고로 가장합니다. 이런 유혹은 정부 직원들의 관심을 끌도록 특별히 제작되었습니다. 파일을 열고 실행하면 ConnectWise Control 페이로드가 피해자의 장치로 드롭됩니다.
ScreenConnect와 OneHub의 사이버 스파이 활동 악용
위협 행위자들은 횡적 이동과 정찰 능력을 강화하기 위해 합법적인 원격 관리 도구에 점점 의존합니다. MuddyWater는 이러한 추세에 뒤지지 않으며, ScreenConnect를 악용하여 피해자를 스파이하고 악성 실행 파일을 전달합니다.
ConnectWise Inc.에 인수된 ScreenConnect는 인터넷 연결 상태에서 어디서나 기기를 원격으로 보고 제어할 수 있는 완전한 기능의 원격 지원 소프트웨어입니다. 최신 MuddyWater 캠페인 동안 이 도구는 지속성을 달성하고 손상된 네트워크를 횡으로 이동하며, 공격자의 서버와 통신 유지 및 임의 명령 실행을 통해 데이터 덤프 및 사이버 스파이 활동을 용이하게 하는 데 사용되었습니다.
이 캠페인 동안 악용된 또 다른 합법적인 서비스는 OneHub 클라우드 스토리지입니다. MuddyWater는 운영 QuickSand부터 OneHub를 악성 페이로드 저장소로 활용하기 시작했습니다. 다른 위협 행위자들도 다양한 악의적인 목적으로 이 클라우드 서비스를 활용하는 것으로 포착되었습니다. 예를 들어, OneHub는 여러 멀스팸 캠페인에서 악성 파일을 호스팅하는 데 사용되었습니다.
악성 활동 감지
MuddyWater 공격에 대한 적극적인 방어를 촉진하기 위해, 당사는 Threat Bounty 개발자인 Osman Demir:
https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code
규칙은 다음 플랫폼에 대한 번역이 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
전술: 탐색
기술: 레지스트리 쿼리(T1012), 시스템 정보 탐색(T1082)
행위자: MuddyWater
MuddyWater 활동 관련 최신 탐지 사항을 놓치지 않으려면 앞으로 계속 블로그 업데이트를 확인하세요.
위협 탐지 마켓플레이스 가입 하여 90,000개 이상의 탐지 및 대응 규칙을 포함한 업계 최고의 SOC 콘텐츠 라이브러리에 접근하세요. 콘텐츠 베이스는 300명 이상의 국제 보안 수행자 커뮤니티의 공동 노력으로 매일 풍부해집니다. 우리 위협 사냥 활동의 일원이 되고 싶으십니까? 위협 현상금 프로그램 참여!
