레스트링크 작전: 일본을 겨냥한 APT 캠페인 탐지

2022년 4월 이후 연구원들은 일본 조직을 특정 대상으로 하는 일련의 표적 사이버 공격을 관찰하고 있습니다. Operation RestyLink라는 이름의 이 캠페인은 최소한 2022년 3월부터 활동해 온 것으로 믿어지며 관련 악성 활동은 2021년 10월로 거슬러 올라갑니다. 정확한 배경은 현재 불분명하지만, 공격 킬 체인과 고도로 표적화된 특성은 정교한 ATP가 이 악성 작업의 배후에 있을 가능성을 시사합니다.

Operation RestyLink 탐지

Operation RestyLink의 지속성 방법과 관련된 악성 활동을 식별하기 위해서는, 당사의 예리한 Threat Bounty 개발자가 제공한 Sigma 규칙을 다운로드하십시오. Osman Demir.

cmdline을 통해 작업 파일을 오피스 응용 프로그램 시작에 쓰는 방법으로 일본을 표적으로 한 수상한 Operation RestyLink 지속성

위에서 언급한 Sigma 규칙은 23개의 SIEM, EDR, XDR 환경에서 사용할 수 있으며, MITRE ATT&CK 프레임워크와 연계되어 지속성 전술과 해당되는 Office Application Startup (T1137) 기술을 다룹니다.

눌러탐지 목록 탐색 현재 및 신흥 APT 공격에 대한 전체 탐지 콘텐츠 목록에 접근합니다.

탐지 목록 탐색

공격 킬 체인과 배경

상세한 조사에 따르면 SOC 분석가 Rintaro Koike에 의해 수행된 최근 RestyLink 공격은 피싱 이메일로 시작됩니다. 이메일 본문에는 악성 URL이 포함되어 있습니다. 만약 피해자가 링크를 클릭하게 되면, 공격자 서버에서 LNK 파일을 포함한 ZIP 아카이브가 내려받아집니다. 실행될 경우 LNK 파일은 Windows 명령을 활용하여 Microsoft 시작 폴더에 DOT 파일을 떨어뜨립니다. 동시에 화면에는 허위 PDF가 표시되어, 피해자가 배경에서 진행 중인 수상한 프로세스에 주의를 기울이지 못하게 합니다.

2022년 4월 및 이전에서 관찰된 유사한 침입의 분석 결과 적들이 동일한 절차를 따르지만 다른 파일 형식과 방법을 사용함을 알 수 있습니다. 예를 들어, 공격자는 악성 DLL이 숨겨진 EXE 파일을 내리기 위해 피싱을 통해 악성 ISO 파일을 전송시켰습니다. 이 DLL은 UPX로 패킹된 Go 다운로더로 밝혀졌으며 감염된 시스템에 CobaltStrike Stranger를 내렸습니다.

같은 인프라가 2022년 1월-3월 및 2021년 10월-11월 일본을 대상으로 한 공격에서도 활용되었습니다. 보안 전문가들은 공격의 표적성과 정교함이 APT 행위자가 배후에 있을 가능성을 시사한다고 지적합니다. 현재 정확한 배경은 알려져 있지 않으나, 낮은 신뢰 수준에서 연구원들은 DarkHotel, Kimsuky, APT29, 또는 TA416 을 가능성 있는 공격 운영자로 지목하고 있습니다.

협력적인 사이버 방어의 힘을 활용하고 위협 사냥 속도를 높이려면 SOC Prime의 Detection as Code 플랫폼에 가입하십시오. 사이버 위협에 대한 유용한 관련 정보를 즉시 발견하고, 25개 이상의 SIEM, EDR, XDR 솔루션용 전용 Sigma 규칙과 실시간 번역에 접근하며, 위협 사냥과 탐지 작업을 자동화하여 사이버 방어 역량을 강화하세요.