글로벌 사이버 전쟁의 최전선: 우크라이나를 겨냥한 주요 러시아 후원 APT 그룹 개요 및 TTP에 대비한 시그마 규칙
목차:
우크라이나 특수통신정보보호국(SSSCIP)이 최근 분석 보고서를 발행하여 2022년 우크라이나에 대한 러시아의 사이버 공격을 다루고 있습니다. 보고서는 우크라이나에서의 전면전 발발 이후 주목받아온 주요 해킹 집단에 대한 통찰을 제공하고 적의 TTP를 분석하여 침투를 실행하는 방법을 보여줍니다. 또한 우크라이나 및 전 세계 조직이 어떠한 규모의 러시아 사이버 공격에도 능동적으로 방어할 수 있도록 악의적인 활동을 설명하는 주요 트렌드와 공격 벡터를 다루고 있습니다.
2022년 2월 24일, 지금으로부터 일 년 남짓 전에 러시아 연방은 육지, 공중, 해상을 통한 우크라이나에 대한 침략을 시작했습니다. 이 전쟁은 사이버 공간에서도 격화되었습니다. 결과적으로 우리는 인류 역사상 처음으로 완전한 사이버 전쟁을 목격하고 있으며, 러시아는 공격적 반대자 역할을 하고 우크라이나는 사이버 최전선에서 자신과 동맹을 방어하고 있습니다. 이러한 공격을 사이버 전쟁이라고 부르는 것이 더 이상 은유처럼 보이지 않습니다.
그러나 러시아 군대와 미사일의 지상 공격은 예상치 못한 일이었지만, 우크라이나에 대한 사이버 전쟁은 거의 10년 동안 지속되고 있습니다.2015-2016년 악명 높은 Sandworm APT 그룹이 사용한 BlackEnergy 멀웨어 와 2017년 우크라이나 금융 부문을 겨냥한 악명 높은 NotPetya 멀웨어 공격을 포함하여. 오늘날 우리가 러시아 사이버 프론트에서 볼 수 있는 것은 30년 전략의 결과입니다. SSSCIP는 모스크바 정부가 군사 명령을 수행하고 제로데이 취약점을 장착하며 저비용 자율 캠페인 런칭에 광범위한 경험을 보유한 훈련된 공격 네트워크를 구축했지만, 사이버 방어 작전은 여전히 상당히 비용이 많이 든다고 보고합니다.. SSSCIP reports that the Moscow government has grown a broad network of trained offensive affiliates who can perform military commands, are equipped with zero-days and have extensive experience in launching autonomous campaigns at low cost, while cyber defense operations still remain rather costly.
SSSCIP 보고서에 따르면 조사된 사건에 대한 CERT-UA의 추정치를 바탕으로, 러시아 관련 위협 행위자가 우크라이나를 겨냥한 파괴적인 사이버 공격을 2,194건 배포했으며, 그 중 52%(1,148건)가 가장 중요하고 높은 수준의 공격으로, CERT-UA 및 그 파트너들의 공동 노력에 의해 성공적으로 조사되고 완화되었습니다. Google의 위협 연구 그룹의 보안 전문가들은 2022년 동안 우크라이나 자산에 대한 공격이 2021년에 비해 250% 증가했다고 관찰합니다. 이는 우크라이나의 군사적 개입 이후 지속적으로 우크라이나 정부 및 군사 기관, 주요 인프라, 공공 서비스, 언론 부문에 집중하고 있습니다. Mandiant 는 “침공이 시작될 즈음, 2022년 첫 4개월 동안 우크라이나에서 이전 8년보다 더 많은 파괴적인 사이버 공격을 목격했다”고 언급했습니다. 러시아의 사이버 공세 작전이 격화됨에 따라, 사이버 방어자들은 한 개의 조직이 러시아 지원 파괴 공격의 산사태를 자체적으로 견딜 수 없음을 깨달았으며, 이는 이러한 규모의 사이버 공격을 방어하기 위한 글로벌 사이버 보안 협력의 필요성을 강조합니다. in attacks against Ukrainian assets during 2022 (as compared to 2021). The targeting, which coincided and has since persisted following the country’s military invasion of Ukraine in February 2022, focused heavily on the Ukrainian government and military entities, alongside critical infrastructure, utilities, public services, and media sectors. Mandiant said it observed, “more destructive cyber attacks in Ukraine during the first four months of 2022 than in the previous eight years, with attacks peaking around the start of the invasion.” With the escalation of russia’s cyber offensive operations, cyber defenders realized that no individual organization can withstand the avalanche of russia-backed destructive attacks on their own, which stresses the need for global cybersecurity collaboration to thwart cyber aggression of such scale.
SOC Prime 은 글로벌 사이버 전쟁의 최전선에서 경계를 지키며, 우크라이나와 그 동맹국들이 러시아의 공격으로부터 자신들을 방어하도록 돕고 있습니다. CERT-UA 및 SSSCIP와 협력하여, 실제 전장에서 Sigma 규칙을 연구, 개발, 테스트하고, 매달 400여 건의 새로운 탐지 콘텐츠를 제공하여 러시아의 파괴적인 공격을 저지하는데 도움을 주고 있습니다.
SOC Prime의 집단 사이버 방어를 위한 플랫폼은 MITRE ATT&CK 프레임워크 v12와 일치하는 10,000개 이상의 행동 기반 Sigma 규칙을 수집하고 27개 이상의 SIEM, EDR, XDR 솔루션 간 쉽게 공유할 수 있도록 합니다. SOC Prime은 정보 공유를 통해 누구든지 Sigma 규칙을 활용하고 기여할 수 있도록 260,000개 이상의 탐지 알고리즘에 관련된 모든 메타데이터를 공개적으로 공유하고 있습니다. TTPs 및 적의 행동 양식을 포함한 신속한 정보 교환은 사이버 방어자들에게 진행 중인 사이버 전쟁에서 전략적 이점을 제공합니다.
여기에서 러시아 국가 지원 APT 그룹의 악의적인 활동에 능동적으로 방어하기 위한 큐레이팅된 탐지 알고리즘 목록을 확인할 수 있습니다. 이는 SSSCIP 조사 에서 우크라이나의 여러 산업 분야를 대상으로 한 파괴적인 사이버 공격을 활발하게 수행 중인 위협 행위자로 언급되었습니다.
모든 Sigma 규칙은 MITRE ATT&CK 프레임워크 v12와 일치하며 업계 최상의 SIEM, EDR, XDR 기술과 호환됩니다. 사이버 방어자들은 관련 ATT&CK 및 CTI 링크, 완화 조치, 운영 메타데이터에 관련된 사이버 위협 컨텍스트에 즉시 접근하여 위협 조사를 가속화할 수 있습니다.
Gamaredon APT (UAC-0010) 적의 활동 감지
2022년 동안 국가 지원 해킹 집단의 활동을 분석한 SSSCIP 보고서에 따르면, Gamaredon APT는 2022년 하반기에 등록된 사건을 기준으로 가장 활동적이고 지속적인 그룹으로 고려될 수 있습니다. 이 기간 동안 위협 행위자들은 주로 우크라이나 군사, 보안, 방위 부문 및 정부 기관을 목표로 공격을 수행했습니다.
이 국가 지원 러시아 관련 그룹은 Armageddon APT 또는 UAC-0010, 트라이던트 우르사, Shuckworm, Primitive Bear 등의 여러 이름으로 추적되고 있습니다. 우크라이나 보안 서비스에 따르면이 그룹의 활동은 사이버 최전선에서 우크라이나 및 NATO 동맹국을 대상으로 한 정보 및 파괴 작업을 목표로 하는 러시아 연방 보안 서비스(FSB)에 속한다고 합니다. 아래 링크를 따라 관련 악성 활동을 탐지할 수 있는 전체 Sigma 규칙 세트를 확인할 수 있습니다.
UAC-0010과 연결된 사이버 공격에서 TTP를 탐지하기 위한 Sigma 규칙
Sandworm APT (UAC-0082) 악성 캠페인 탐지
2022년 내내 주목받은 또 다른 해킹 집단은 GRU 관련 Unit 74455로도 알려진 Sandworm APTSandworm Group입니다. CERT-UA에서는 이 그룹을 UAC-0082로 추적합니다. 관찰된 기간 동안 이 그룹은 주로 우크라이나의 물류 및 운송, 미디어, 에너지 부문을 목표로 삼았습니다.
2022년 4월 중순, CERT-UA는 Microsoft 및 ESET과 협력하여 인류 역사상 두 번째 전력 중단 공격 을 커버하는 경고를 발행했습니다. 이 공격에서 러시아 해커들은 산업용 Industroyer 멀웨어 패밀리의 새로운 버전인 Industroyer2를 데이터 삭제 악성코드 CaddyWiper와 함께 사용했습니다. CaddyWiper은 크게 HermeticWiper 및 WhisperGate and 멀웨어가 동원된 사이버 공격의 직후에 등장하며 2022년 하반기 우크라이나 위협 환경에서 삭제 경향을 보여주었습니다. 아래에서 악성 UAC-0082(Sandworm Group) 관련 활동을 탐지하는 데 필요한 포괄적인 Sigma 규칙 목록을 확인할 수 있습니다. malware, illustrating the wiping trend in the Ukrainian threat landscape for the 2nd half of 2022. Below you can find the comprehensive list of Sigma rules to detect the malicious activity of UAC-0082 aka Sandworm Group.
UAC-0082 그룹의 적대 활동을 탐지하기 위한 Sigma 규칙
UAC-0056 그룹의 악성 활동 탐지
위협 행위자로 식별된 UAC-0056 은 또한 러시아의 전면적인 우크라이나 침공 이후 우크라이나 조직을 활발히 공격하고 있으며, 주로 정부 및 금융 부문을 목표로 삼고 있습니다. 이 해킹 집단은 2022년 봄의 대규모 피싱 공격의 배후에 있었으며, Cobalt Strike Beacon, GrimPlant, GraphSteel 멀웨어를 활용했습니다. SOC Prime의 Detection as Code 플랫폼은 UAC-0056 그룹과 관련된 침투로부터 조직의 인프라를 능동적으로 방어하기 위한 전용 Sigma 규칙 세트를 아래 링크를 통해 제공합니다.
UAC-0056 해커의 악성 활동에 관련된 TTP를 탐지하기 위한 Sigma 규칙
UAC-0020 그룹의 적대 활동 탐지
Vermin은 UAC-0020으로도 추적되는 또 다른 해킹 집단으로, 2022년 이후로 사이버 위협 지역에서 러시아 지원 공격과 관련 있어 우크라이나에 소란을 일으켜 왔습니다. Sandworm APT 그룹과 유사하게, Vermin 악의적 행위자들은 2022년 동안 군사, 보안, 방위 부문을 대상으로 삼았습니다.
사이버 보안 연구원들은 이 그룹을 우크라이나 동부 도네츠 지역의 자칭 국가인 루한스크 인민공화국(LPR)에 소속된 것으로 판단합니다. 조사를 따르면, Vermin은 글로벌 사이버 전쟁의 최전선에서 러시아 사이버 전쟁의 운영 유닛으로 활동하는 국가 지원 그룹입니다. 사이버 방어자들은 아래 링크를 따라 UAC-0020 러시아 관련 사이버 범죄자들에 의해 발생된 현재와 긴급한 위협을 제때 탐지하기 위해 Sigma 규칙의 전체 모음을 즉시 확인할 수 있습니다.
UAC-0020 행위자들과 연결된 악성 작업을 탐지하기 위한 Sigma 규칙
UAC-0142 행위자들과 관련된 사이버 공격 탐지
2022년 동안 군사, 보안, 방위 부문을 대상으로 하는 또 다른 해킹 그룹은 UAC-0142로 추적되며, 주로 피싱 공격 벡터를 활용하여 사이버 공격을 진행하고 있습니다. 2022년 말, 악의적 행위자들은 전장 위에서 군사 부대의 협력을 용이하게 하는 것으로 알려진 국가 기반의 상황 인식 시스템 DELTA 해킹을 목표로 하고 있었습니다. UAC-0142 위협 행위자와 관련된 악의적인 침투를 제때 식별하기 위해, SOC Prime 플랫폼은 관련 Sigma 규칙의 전체 컬렉션을 아래 링크를 통해 제공합니다. DELTA, which is used to facilitate the coordination of military forces on the battlefield. To timely identify the malicious intrusions linked to the UAC-0142 threat actors, SOC Prime Platform offers a full collection of relevant Sigma rules available via a link below:
UAC-0142 그룹의 사이버 공격을 능동적으로 방어하기 위한 Sigma 규칙
보안 전문가들은 러시아 국가 지원 APT에 대한 포괄적인 Sigma 규칙 모음과 50개의 고유 탐지 알고리즘을 선택하여 활용할 수 있습니다. Sigma2SaveLives 자선 구독 에서 수익의 100%가 우크라이나 국민에게 집중적인 지원을 제공하는 데 기부되며, 항상 러시아 관련 위협 행위자보다 앞서 나갈 수 있습니다.
