Seashell Blizzard 공격 감지: 러시아 관련 해킹 그룹의 장기적 사이버 스파이 ‘BadPilot’ 캠페인
목차:
악명 높은 러시아의 APT 그룹 Seashell Blizzard는 또한 APT44 로 알려져 있으며 적어도 2009년부터 글로벌 사이버 캠페인을 벌이고 있습니다. 수비수들은 최근에 ‘BadPilot’이라는 새로운 장기 접근 캠페인을 발견했는데, 이는 그룹의 은밀한 초기 침입에 대한 집중을 강화하고 고급 탐지 회피 기술 세트를 활용하는 것을 의미합니다.
Seashell Blizzard 공격 탐지
10년 이상 동안, 러시아의 지원을 받는 Seashell Blizzard APT 그룹 – UAC-0145, APT44 또는 Sandworm으로도 추적됨 – 는 지속적으로 우크라이나를 집중 공격하며, 중요한 부문을 목표로 삼았습니다. 전면적인 침략 이후, 이 GRU와 연결된 군사 사이버-스파이 단위는 그 활동을 증가시켜 우크라이나를 테스트 베드로 사용하여 악성 TTP를 정제하고 이를 글로벌 타겟으로의 공격 캠페인으로 확장하려고 합니다.
SOC Prime 플랫폼 은 집단 사이버 방어를 위해 보안 전문가들에게 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품 세트와 함께 Seashell Blizzard 작전을 저항하기 위한 맞춤형 탐지 알고리즘을 제공합니다. 아래의 탐지 탐색 버튼을 클릭하면 관련 탐지 스택으로 바로 드릴다운할 수 있습니다.
모든 규칙은 여러 SIEM, EDR, 그리고 데이터 레이크 플랫폼과 호환 가능하며, 위협 조사 간소화를 위해 MITRE ATT&CK 에 매핑되어 있습니다. 또한, 각 규칙은 참고자료, 공격 타임라인, 트리아지 추천, 감사 구성 등을 포함한 광범위한 메타데이터로 보강되어 있습니다. CTI references, attack timelines, triage recommendations, audit configurations, and more.
악명 높은 러시아 관련 사이버 스파이 집단과 연결된 관련 악의적 활동에 대한 추가 탐지 콘텐츠를 위해 ‘Sandworm,’ ‘APT44,’ 또는 ‘Seashell Blizzard‘ 태그를 적용하여 SOC Prime 플랫폼 상에서의 검색을 간소화하세요.
Seashell Blizzard 작전 분석
Seashell Blizzard는 또한 APT44, Sandworm, Voodoo Bear, 또는 UAC-0082로 추적되는 고영향의 러시아 해킹 집단으로, GRU 유닛 74455와 연결되어 있습니다. 10년 이상 활동하면서 위협 행위자들은 미국, 캐나다, 호주, 유럽, 아시아의 조직을 대상으로 광범위한 적대적 캠페인을 수행했습니다.
영향을 받은 시스템에 은밀한 접근을 유지하는 것으로 잘 알려진 이들은 사이버 스파이 활동을 수행하기 위해 오픈 소스 및 맞춤형 도구의 혼합을 사용합니다. 이 그룹은 ICS 및 SCADA 환경에 강한 관심을 보이며, 이전 공격으로 인해 에너지 시스템에 대한 중대한 중단을 초래한 사례가 있습니다.
AttackIQ 연구진은 최근 이 그룹의 BadPilot 캠페인을 폭로했으며, 이는 표적 네트워크를 침입하기 위해 주로 스피어 피싱 이메일과 보안 결함을 이용하는 은밀하고 장기적인 작전입니다. 발판을 얻은 후에는 그룹 내 다른 적에게 접근이 넘겨져 추가적인 착취와 정보 수집이 진행됩니다.
특히, Seashell Blizzard는 러시아의 우크라이나에 대한 전면적인 침공이후로 우크라이나를 표적으로 삼아 왔습니다. 2022년 4월, CERT-UA는 Microsoft 및 ESET와 함께 세계 두 번째 사이버 공격으로 인한 전력 공급 중단을 경고했으며, 이는 UAC-0082(Seashell Blizzard)로 추적되었습니다. 공격자들은 악명 높은 Industroyer의 새로운 변종인 Industroyer2와 악명 높은 CaddyWiper malware를 함께 사용했습니다.
최신 BadPilot 캠페인에서, 해커들은 Windows 서비스를 변경하거나 생성하여 시스템 재부팅 또는 비밀번호 변경 후에도 접근을 유지하는 지속적인 기술을 사용합니다. 이들은 내장된 Windows 유틸리티, 특히 sc 명령줄 도구를 사용하여 새로운 서비스를 설정하고 확인할 수 있게 합니다. 또한 일반적인 네트워크 활동과 함께 저활동 기간 동안 악성코드 샘플을 은밀하게 배포하기 위해 Windows BITS 구성 요소를 악용하여 탐지를 피합니다.
Seashell Blizzard 작전의 위험을 최소화하기 위해, 보안 팀은 지속적으로 방어를 평가해야 합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위한 미래 지향적 기업용 제품군을 AI, 자동화, 실행 가능한 위협 인텔리전스로 지원하여 비즈니스가 증가하는 적대 능력에 대해 경쟁 우위를 확보할 수 있도록 보장합니다.
