국가 지원 APT 공격 탐지: Microsoft와 OpenAI, 이란, 북한, 중국 및 러시아 해커의 AI 악용 경고
목차:
2023년에 걸쳐 공격의 빈도와 정교함은 AI 기술의 빠른 발전과 채택과 함께 증가했습니다. 방어자들은 방어 목적을 위해 생성적 AI의 잠재력을 파악하고 활용하기 시작하면서 상대방을 앞지르려 하고 있으며, 공격 측도 뒤처지지 않습니다. 해커들은 ChatGPT와 같은 AI 기반 기술을 악용하여 타겟팅된 피싱 이메일을 생성하고, Excel 매크로를 작성하거나 새로운 랜섬웨어 샘플을 만드는 등 다양한 악성 작업을 수행하고 있습니다. AI 시대의 새벽에서 우리는 여전히 대형 언어 모델(LLM)이 미래 사이버 방어의 축복인지 저주인지 궁금해하고 있습니다.
중국의 국가 지원 APT 그룹, 이란, 북한, 그리고 러시아는 AI와 LLM을 사용하여 기존의 공격 작업을 강화하는 실험을 하고 있습니다.
국가 지원 APT의 공격을 AI를 사용하여 감지하기
전세계적으로 고조되는 지정학적 긴장은 사이버 영역에도 영향을 미치며, 이는 2023년에 국가 행위자들의 활동 증가로 특징지어진 이유 중 하나입니다. APT 그룹은 레이더 아래에서 활동하고 악의적 목표를 성공시키기 위해 새로운 전술, 기술 및 절차를 지속적으로 채택하므로, 사이버 방어자는 증가하는 공격의 정교함과 양에 대처하기 위해 도구를 발전시켜야 합니다.
명확하게, AI와 LLM 기술은 위협 행위자들의 주목을 끌고 있으며, 탐색 자동화, 공개 소스 데이터 검색, 악성 노트 및 스크립트를 여러 언어로 번역, 기본적인 엔지니어링 작업 수행 등을 가능하게 합니다. 에 따르면 조사 OpenAI와 Microsoft에 의해, 여러 국가 지원 그룹들은 악의적 능력을 강화하기 위해 AI에 크게 의존하고 있으며, 이는 북한의 Emerald Sleet, 중국의 Charcoal Typhoon, 러시아의 Forest Blizzard, 이란의 Crimson Sandstorm 등을 포함합니다.
어떤 복잡성과 정교함의 공격보다 한 발 앞서기 위해, SOC Prime Platform은 위협 헌팅 및 탐지 엔지니어링을 위한 고급 도구 세트를 제공합니다. 전 세계의 위협 인텔리전스, 크라우드소싱, 제로 트러스트, AI를 기반으로 하는 이 플랫폼은 보안 전문가들이 APT 공격에 대한 행동 기반 탐지 알고리즘의 최대 컬렉션을 검색하고, 탐지 범위의 맹점을 발견 및 해결하며, 탐지 엔지니어링을 자동화하는 것을 가능하게 합니다.
주목받는 APT 행위자와 관련된 악성 활동을 탐지하기 위해서는 아래 링크를 따라가십시오. 나열된 모든 규칙은 28개의 SIEM, EDR, XDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® v14.1. 또한, 탐지는 CTI 참조, 공격 타임라인, 우선 처리 권고 등 풍부한 메타데이터를 통해 강화됩니다.
Emerald Sleet (일명 Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)
Charcoal Typhoon (일명 Earth Lusca, Red Scylla)
Forest Blizzard (일명 APT28, Fancy Bear)
Crimson Sandstorm (일명 Imperial Kittens, TA456)
북한, 이란, 러시아, 중국 APT 탐지를 목표로 하는 전체 탐지 스택을 탐색하려면 아래 탐지 탐색 버튼을 누르십시오.
AI를 활용한 국가 지원 APT 공격 분석
Microsoft와 OpenAI 는 최근 다섯 국가 지원 APT 그룹이 생성적 AI를 악용한 것을 발견하고 차단했습니다. 적대 세력은 주로 OpenAI 서비스를 이용하여 공개적으로 이용 가능한 데이터에 접근하고, 언어 번역을 수행하고, 코드 오류를 식별하고, 기본 코딩 작업을 수행하려 했습니다.
연구에서는 중국, 이란, 북한, 러시아의 다음 해킹 조직들을 밝혀냈습니다. 아래는 LLM 기술을 무기화하여 악성 작업을 수행한 다섯 APT 그룹입니다.
AI를 무기화하는 중국과 연계된 국가 지원 행위자들 중 Charcoal Typhoon (일명 Aquatic Panda)와 Salmon Typhoon (일명 Maverick Panda)이 있습니다. 전자는 OpenAI 제공을 활용하여 여러 회사를 조사하고 그들의 사이버 보안 도구 세트를 탐색하며, 코드 디버깅하고, 스크립트를 생성하며, 타겟 피싱 캠페인을 위한 콘텐츠를 제작하는 것으로 추정됩니다. 후자는 LLM를 활용하여 기술 번역, 다양한 정보 기관에 관한 공개 접근 가능 데이터를 모으고, 방어 회피 기술을 연구했습니다.
이란의 지원을 받는 Crimson Sandstorm (일명 Imperial Kitten) 그룹은 OpenAI 서비스를 활용하여 앱 및 웹 개발을 지원하는 스크립팅 작업, 스피어 피싱 공격을 시작하기 위한 콘텐츠 생성, 그리고 탐지 회피를 위한 일반적인 기술 검색에 이용했습니다.
악명 높은 북한 해킹 그룹은 THALLIUM (일명 Emerald Sleet 또는 Kimusky)로, 최근 Troll Stealer 및 GoBear 악성코드를 사용한 한국에 대한 공격으로 주목을 받았습니다 , 또한 조명 아래로 들어섰습니다. 해커들은 LLM 기술을 사용하여 공개적으로 접근 가능한 보안 취약점을 분석하고, 간단한 스크립팅 작업을 지원하며, 피싱 캠페인을 위한 콘텐츠를 생성했습니다., also stepped into the spotlight. Hackers employed LLM technology to analyze publicly accessible security flaws, assist in simple scripting operations, and generate content for phishing campaigns.
러시아 공격력에 관해서는, 연구자들은 Forest Blizzard (일명 APT28 또는 Fancy Bear) 해커와 관련하여 OpenAI 제공을 악용한 악성 활동의 흔적을 발견했습니다. Forest Blizzard는 인공위성 통신 프로토콜 및 레이더 이미지 기술에 관한 오픈 소스 연구를 수행하고, AI 지원 스크립팅 작업을 수행한 것으로 관찰되었습니다. 특히, APT28은 다른 러시아 해킹 집단과 함께 우크라이나 단체에 대해 일련의 공격 캠페인을 시작한 것으로 관찰되었습니다. 우크라이나에서 전면전 발발 이후, 일반적으로 피싱 공격 벡터.
기술 진화가 강력한 사이버 보안 및 안전 프로토콜의 필요성을 주도함에 따라, Microsoft는 최근 위험 완화의 원칙을 다룬 연구를 발표했습니다 이는 국가 지원 APT 그룹과 개별 해커에 의한 AI 도구 사용과 관련된 것입니다. 이러한 원칙은 공격력에 의한 AI 남용을 식별하고 대응하며, 다른 AI 서비스 공급자에게 알리고, 즉각적인 정보 교환을 위한 관련 이해관계자와의 협력, 투명성 유지 등을 포함합니다.
위협 생태계의 지속적인 진화는 생성적 AI의 힘에 의해 영향을 받고 있으며, 방어자와 위협 행위자 모두 사이버 영역에서 경쟁 우위를 확보하기 위해 노력하고 있습니다. 생성적 AI와 결합된 제로 트러스트 접근법에 의해 지원되는 사이버 위생 모범 사례를 따르고, 적극적인 위협 탐지를 시행하면 AI 시대에서 방어자가 적군보다 앞설 수 있습니다. SOC Prime은 위협 인텔리전스, 오픈 소싱, 제로 트러스트 및 생성적 AI에 기반한 집단 사이버 방어 시스템을 촉진합니다. 팀을 선별된 감지 콘텐츠 로 현재 및 신흥 APT 공격에 대비하여 집단 사이버 방어를 통해 적군보다 앞서도록 하십시오.
