러시아 정부 지원의 적대적 세력이 미국 정부 계약자를 겨냥하고 있습니다: CISA 경고
목차:
2022년 2월 16일, 사이버 보안 및 인프라 보안국(CISA)은 최신 정보 러시아와 연계된 사이버 공격에 대한 정보를 공개했습니다. 이 공격은 최소한 2년 이상 운영된 미국 정비 사업자(CDC)를 대상으로 했습니다. 이번에 타겟이 된 CDC들은 무기 개발, 감시 데이터, 통신망 및 소프트웨어 사양 등의 다양한 민감한 데이터 소스에 접근할 수 있었습니다. 알려진 피해자들로는 미 육군, 미 공군, 미 해군, 미 우주군 및 미 국방부와 정보 프로그램이 포함됩니다.
FBI, CISA 및 NSA는 러시아 사이버 공격에 대한 방어 네트워크 보호의 중요성을 강조했습니다. 우리는 SOC Prime 플랫폼에서 즉시 사용 가능한 최신 탐지 콘텐츠를 수집하여 귀하의 조직에서 위의 공격을 제때 완화할 수 있도록 했습니다.
러시아 연계된 사이버 스파이 캠페인: 통찰력과 위험
CISA에 따르면, 러시아 국가 후원 악성 사이버 활동의 주요 목표는 미국 정부의 군사 계획 및 우선순위에 접근하는 것입니다. 이는 그들이 자신의 기술 개발 노력을 개선하거나 타겟으로 삼은 피해자들을 모집하려는 시도로 이어질 수 있습니다.
다수의 CDC 네트워크에 대한 지속적인 접근이 2020년 1월부터 유지되고 있으며, 문서 및 이메일의 민감한 데이터가 정기적으로 유출되고 있습니다. 일반적으로 사용하는 Microsoft 365 서비스가 가장 빈번한 타겟이었습니다. 적들은 주로 인증 정보 수집, 무차별 공격 및 스피어 피싱을 활용하기 위해 알려진 취약점을 악용합니다. 적용된 공격자 TTPs가 드물지 않으나, 해커들이 매우 다양한 악성 코드를 사용하는 것이 우려스럽습니다. 이는 최신 탐지 규칙을 지속적으로 배포해야만 식별할 수 있습니다.
미국 정부 기관은 러시아의 국가 후원 위협 행위자들이 가까운 미래에 방위 계약자 네트워크를 목표로 침입 시도를 계속할 것으로 보고 있습니다. 따라서 CDC는 가능성 있는 지속적인 공격과 미래 공격 시도에 저항하기 위해 가장 진보된 사이버 방어 조치를 취하는 것이 권장됩니다.
잠재적인 러시아 사이버 공격 감지 및 완화
러시아 국가 후원 행위와 관련된 악성 활동을 감지하고 잠재적인 위협에 대한 인식을 높이기 위해, 이미 SOC Prime 플랫폼에 존재하는 선정된 탐지 콘텐츠를 활용할 수 있습니다. 아래 표(CISA 제공)는 미국 계약자를 대상으로 공격하는 과정에서 러시아 국가 후원 행위자가 사용하는 일반적인 전술, 기술 및 절차(TTPs)를 나열하며 적의 TTPs를 다루는 일련의 Sigma 규칙을 제공합니다.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
지금 바로 SOC Prime의 Detection as Code 플랫폼에 가입하여 끊임없이 등장하는 위협에 앞서기 위해 전 세계 사이버 보안 전문가들의 협력에서 이익을 얻으십시오. 콘텐츠 개발자라면 SOC Prime Threat Bounty 프로그램에 신청하여, 원본 Sigma 및 Yara 규칙을 제출한 후 품질 검사를 통과하여 SOC Prime 플랫폼을 통해 콘텐츠를 게시하고 반복적인 지급을 받을 수 있습니다.
