북한 해커, 보안 연구자 표적 위해 소셜 미디어 의존
목차:
Google의 위협 분석가들은 취약성 연구원 및 레드 팀 구성원을 대상으로 한 현재 악성 캠페인에 대해 경고하고 있습니다. 보고에 따르면, 이 작전의 뒤에는 북한이 지원하는 행위자가 있으며, 가짜 소셜 미디어 프로필을 통해 개별 보안 실무자에게 접근하기 위해 새로운 사회공학 기법을 활용하고 있습니다.
보안 연구자에 대한 공격
Google 위협 분석 그룹(TAG)의 캠페인 개요 에 따르면 북한이 후원하는 집단이 위협 헌팅 애호가들에게 악성 코드를 감염시키기 위해 전용 블로그와 광범위한 가짜 소셜 미디어 계정을 조작했다고 추정합니다. 특히, 위협 행위자는 취약성 감지 및 익스플로잇 개발을 연구하는 연구자로 가장하여 신뢰를 쌓고 온라인 대화를 시작했습니다.
해커들은 가능한 많은 통신 채널을 포괄하기 위해 Twitter, LinkedIn, Telegram, Keybase, Discord에 계정을 생성했습니다. 일부 시도는 이메일을 통해 이루어지기도 했습니다.
채팅에 연결된 후, 적대 행위자들은 버그 분석에 연구자들이 협력하도록 제안하고 그들에게 악성 코드가 포함된 Visual Studio 프로젝트를 보냈습니다. 이 프로젝트는 명백히 백도어 트로이 목마 전달을 목표로 했으며, 해커들이 대상 PC를 제어할 수 있게 했습니다. 또한, 사용자들은 블로그를 방문하도록 권장받았습니다. 그 블로그에는 익스플로잇 분석에 관한 기사와 허구의 포로프 차임(증거) 익스플로잇의 작동에 관한 가상 동영상이 포함되어 있어 대상 전문가가 콘텐츠에 대해 의견을 남기도록 유도했습니다. 그러나 그 웹사이트를 방문할 경우, 이 페이지에 접근하는 모든 사례에 악성 코드가 투하되었습니다.
주목할 만한 점은, 최신 Windows 10 버전의 사용자도 완전히 패치된 Chrome 브라우저를 사용하면서도 기기가 손상되었다는 것입니다. 조사가 진행 중이지만, 전문가들은 위협 행위자들이 Windows 10과 Chrome에 대한 0-day 취약점을 이용하여 피해자에게 맞춤형 트로이 목마를 감염시켰다고 보고 있습니다. 이 악성 소프트웨어는 악명 높은 라자루스 그룹 이 북한 정부를 대신하여 작업한 도구들과 많은 공통점을 가지고 있습니다.
몇 달 전 시작된 이 작전의 주요 목표는 분명해 보입니다. 적대 행위자들은 전문가를 오도하고, 이전에 발견되지 않은 취약점으로 악성 툴킷을 풍부하게 만들기 위해 새로운 사회공학 유인을 개발했습니다. 이런 귀중한 데이터를 가지고 있다면, APT 행위자들은 고수준의 타겟을 공격할 때 전례 없는 이점을 얻을 수 있으며, 익스플로잇 개발에 비용이나 시간을 들이지 않을 수 있습니다.
공격 탐지
이 악명 높은 공격은 여전히 조사 중이므로, 모든 영향을 받은 보안 분석가들은 커뮤니티와 그들의 통찰력과 추가 데이터를 공유해야 합니다. 침입에 대한 방어력을 높이기 위해, SOC Prime 팀은 긴급하게 탐지 콘텐츠를 배포했으며, 잠재적 남용을 의심하는 모든 연구자들이 그들의 시스템에서 손상 여부를 확인할 수 있습니다. Threat Detection Marketplace 플랫폼에서 해당 Sigma 규칙을 다운로드하세요:
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
이 규칙은 다음 플랫폼에 대한 번역이 포함되어 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
전략: 실행, 방어 회피
기법: 신뢰된 개발자 유틸리티 (T1127)
우리의 Threat Bounty 개발자들로부터 이 위협에 대한 선제적 방어를 목표로 하는 최신 기여도 확인하세요:
보안 연구자를 목표로 한 라자루스 그룹 (sysmon을 통해)
업데이트 2021년 1월 29일: Microsoft는 심층적인 보고서 를 통해 공격 킬 체인에 대한 추가 기술 세부 정보를 제공합니다. 조사 중 밝혀진 새로운 과제를 해결하기 위해, 우리의 위협 헌팅 엔지니어이자 SOC Prime과의 보안 대화에서 발표자였던 Adam Swan은 추가 탐지 규칙을 개발했습니다. 우리는 이 프리미엄 SIGMA 규칙을 무료로 공개했으며, 따라서 모두가 비정상적으로 나타나는 rundll32 인수를 찾아 악성 드로퍼를 탐지할 수 있습니다. 안전을 지키세요!
기대되는 인수 없는 LOLBAS rundll32 (cmdline을 통해)
이번 기만적인 캠페인과 관련된 새로운 SOC 콘텐츠 항목을 놓치지 않기 위해 Threat Detection Marketplace 출시를 따라가세요. 관련된 모든 탐지는 이 블로그 게시물에 추가될 것입니다.
구독하기 Threat Detection Marketplace 무료로, 사이버 공격을 그들의 생명 주기의 가장 초기 단계에서 견뎌낼 수 있도록 설계된 가장 관련성 높은 SOC 콘텐츠와 함께 하십시오. 글로벌 위협 헌팅 이니셔티브에 열정이 있나요? 우리 Threat Bounty Program 에 참여하고 당신의 공헌에 대한 보상을 받으세요.
