NOBELIUM APT가 전 세계 IT 공급망을 공격하여 하류 고객을 감시합니다

악명 높은 노벨리움 APT 그룹이 다시 공격합니다! 이번에는 기술 서비스 제공업체를 전 세계적으로 노리며 이들의 하위 고객을 감시하려는 러시아 후원 위협 행위자입니다. 2021년 5월 이후 해커들은 최소 140개의 IT 서비스 기관을 표적으로 삼았으며, 이 중 14개가 성공적으로 손상되었습니다.

NOBELIUM APT 그룹

NOBELIUM APT 그룹(APT29, CozyBear, The Dukes)은 러시아 외무정보국(SVR)의 비밀 해킹 부서로 여겨집니다. 이 그룹은 사이버 위협 분야에서 비교적 새로운 플레이어로, APT 활동의 첫 번째 경고는 2019년 말로 거슬러 올라갑니다. 그 이후로, NOBELIUM은 인상적인 맞춤형 악성코드 샘플을 활용하여 획기적인 침입을 이어가는 매우 정교한 해킹 집단으로 명성을 쌓았습니다.

처음에 NOBELIUM은 미국 정부가 이 그룹을 뒤에 숨어 있는 것으로 비난한 후 주목을 받았습니다. SolarWinds 공급망 공격 으로 여러 미국 정부 기관이 손상되었습니다. NOBLEIUM은 국가 안전부(DHS), 사이버보안 및 인프라 에이전시(CISA), 미국 재무부와 같은 고위 목표의 시스템에 악성 요소를 심어 감시 정보를 수집하고 인프라에 지속적인 백도어 접근을 확보하였습니다.

Microsoft의 보안 분석가들은 NOBELIUM이 APT의 악의적 행동의 범위와 정교함을 지속적으로 높이고 있다고 추측합니다. 2021년 초부터 위협 행위자는 Sunburst, Sunspot, Teardrop , Goldmax, Sibot, 그리고 GoldFinder를 포함한 여러 새로운 악성 샘플을 도구키트에 추가했습니다. 2021년 5월, 이 그룹은 USAID를 사칭해 24개 국가의 정부 자산을 목표로 대규모 스피어 피싱 캠페인 을 시작했습니다. 그리고 올해 7월 1일부터 10월 19일까지 Microsoft는 추정합니다 609개 판매자를 대상으로 22,868건 이상의 해킹 시도가 있었다고.

NOBELIUM의 글로벌 IT 공급망 공격

2021년 10월 Microsoft가 발견한 새로운 캠페인은 NOBLEIUM 전술의 모든 전형적인 속성을 공유합니다. 고위 목표에 도달하고 관심 있는 시스템에 대한 접근을 유지하기 위해, 국가 후원 행위자는 기술 서비스 제공업체에 집중했습니다.

NOBELIUM은 SolarWinds 사건과 유사한 침입을 시도했고, 기술 서비스 제공업체의 특별 계정을 침투하여 클라우드 환경에서 측면 이동하고 하위 고객을 감시했습니다. 대부분의 침입은 보안 결함에 의존하지 않고, 암호 스프레이, 토큰 절도, 공급망 공격, API 남용 및 스피어 피싱을 포함한 정교한 도구와 기법에 의존했습니다.

이 캠페인은 NOBELIUM이 러시아 정부에 관심 있는 목표를 감시할 수 있는 지속적인 감시 채널을 확립하려 시도했음을 보여줍니다. 다행히 이러한 캠페인은 초기 단계에서 발견되어, IT 서비스 제공업체는 NOBELIUM 악성 공격으로부터 시스템을 보호할 수 있습니다.

Microsoft는 영향을 받은 모든 조직에 통보하고 기술 자문 을 발행하여 NOBELIUM의 전술과 기법에 대해 설명했습니다.

NOBELIUM APT 공격 탐지

귀사의 인프라를 NOBELIUM 공격으로부터 보호하기 위해 SOC Prime 팀에서 개발한 Sigma 규칙 세트를 다운로드할 수 있습니다.

Azure VM에서 명령 실행(azureactivity 통해)

탐지는 Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys와 같은 SIEM 보안 분석 플랫폼에 대한 번역을 가지고 있습니다.

이 규칙은 실행, 방어 회피, 지속성, 권한 상승 및 초기 접근 전술을 다루는 MITRE ATT&CK 방법론에 매핑되어 있습니다. 특히 탐지는 명령 및 스크립팅 인터프리터(t1059)와 유효한 계정(t1078) 기술을 다룹니다.

서비스 주체 계정 자격 증명 업데이트(azuread 통해)

탐지는 Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys와 같은 SIEM 보안 분석 플랫폼에 대한 번역을 가지고 있습니다.

이 규칙은 MITRE ATT&CK 방법론에 매핑되어 지속성 전술을 다루고 있습니다. 특히 탐지는 계정 조작(t1098) 기술의 추가 클라우드 자격 증명 하위 기술(t1098.001)을 다룹니다.

비대면 사용자 로그인(azuread 통해)

탐지는 Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys와 같은 SIEM 보안 분석 플랫폼에 대한 번역을 가지고 있습니다.

이 규칙은 지속성 전술과 계정 조작(t1098) 기술을 다루는 MITRE ATT&CK 방법론에 매핑되어 있습니다.

다음을 따르세요 이 링크 를 통해 Nobelium APT의 악성 활동을 다루는 추가 탐지 규칙을 찾을 수 있습니다.

SOC Prime의 탐지 코드 플랫폼을 탐색하여 공격에 더 빠르고 효율적으로 대응할 수 있습니다. 20개 이상의 지원되는 SIEM XDR 기술 내에서 최신 위협을 즉시 검색하고, 활용된 취약성과 MITRE ATT&CK 매트릭스의 문맥 안에서 모든 최신 공격에 대한 인식을 높이며, 글로벌 사이버 보안 커뮤니티로부터 익명의 피드백을 받는 동안 보안 작업을 간소화하세요. 직접 탐지 콘텐츠를 제작하고 기여에 대한 대가를 받고 싶으신가요? Threat Bounty Program에 참여하세요!

플랫폼으로 이동 Threat Bounty에 참여