스네이크 멀웨어 탐지: 러시아 연계 Turla APT가 NATO 국가를 대상으로 장기간 캠페인에 사용한 사이버 스파이 임플란트

2023년 5월 9일, 미국 법무부는 North America, Europe, Africa의 50개 이상의 국가를 대상으로 하던 Snake 사이버 간첩 설치 인프라를 방해하는 데 성공한 ‘MEDUSA’라는 공동 작전의 세부 사항을 공개했습니다.

2003년에 처음 등장한 이 악성 도구는 Turla 그룹에 의해러시아 연방 보안부(FSB)와 연결되어 NATO 회원국 정부를 포함한 여러 관심 대상에 대한 공격을 진행하는 데 사용되었습니다. Snake 캠페인이 중단된 이후, 미국 국가안보국(NSA)과 여러 파트너 기관은 조직들이 Snake와 관련된 악성 활동을 탐지하고 완화하기 위한 관련 조치를 취할 것을촉구했습니다.

러시아 연계 위협 행위자가 사용하는 Snake 멀웨어 탐지

악명 높은 Snake 설치가 러시아 FSB에 의해 활용되는 가장 진보된 사이버 간첩 도구로 기록되며, 최근 공동 CSA AA23-129A에 포함되었습니다. 세계 사이버 방어 커뮤니티는 관련 적대 활동을 신속히 식별할 수 있도록 인식을 높이고 사이버 회복력을 강화해야 합니다. SOC Prime의 Detection as Code 플랫폼은 새로 출현하는 위협에 대한 큐레이션된 Sigma 규칙을 Threat Detection Marketplace에 지속적으로 보강하여 사이버 방어를 강화함으로써 더욱 안전한 사이버 미래를 보장합니다. 러시아와 연계된 Snake 멀웨어로부터 사이버 방어자를 보호하기 위해, SOC Prime 팀은 최근 관련 문맥이 풍부한 Sigma 규칙의 광범위한 컬렉션을 출시했습니다.

이 탐지 스택의 모든 Sigma 규칙은 ‘AA23-129A‘와 ‘Snake_Malware‘라는 맞춤 태그에 의해 필터링되며, 관련 CSA 코드와 페이로드 이름을 기반으로 탐지 알고리즘을 보다 쉽게 검색할 수 있습니다.

아래의 Explore Detections 버튼을 클릭하면 보안 팀은 Snake 멀웨어 탐지를 위한 Sigma 규칙 전체 컬렉션에 즉시 액세스할 수 있습니다. 탐지 알고리즘은 MITRE ATT&CK v12와 정렬되어 있으며, 여러 로그 소스를 다루고 있으며, 업계 최고 수준의 SIEM, EDR, XDR 솔루션에 적용될 수 있습니다. 보안 엔지니어들은 또한 위협 조사를 간소화하기 위해 ATT&CK 및 CTI 참조 등의 관련 메타데이터를 탐색할 수 있습니다.

Explore Detections

Snake 멀웨어 분석

FSB의 가장 악명 높은 장기 사이버 간첩 멀웨어 샘플로 간주되는 Snake는 최소 20년 동안 활동하면서 러시아 연방에 관심이 있는 조직을 은밀히 겨냥해 왔습니다. 피해자 목록에는 NATO 공공 부문 조직, 언론인, 언론 대표, 교육 기관, 중소기업이 포함됩니다. 주요 인프라, 금융, 제조, 통신 부문도 영향을 받았습니다.

보안 연구자들에 따르면, Snake 멀웨어는 2003-2004년 처음으로 악성 장에 ‘Uroburos’라는 이름으로 등장했습니다. FSB의 Center 16 내의 Turla 해킹 집단과 연결되며 이 설치는 민감한 정보 및 문서를 훔치고 숨겨진 피어-투-피어 네트워크를 통해 추가 악성 소프트웨어를 배포하는 데 계속해서 사용되었습니다. 일반적으로 목표 네트워크에 공개된 인프라 노드를 통해 배포됩니다. 이후, Snake는 내부 네트워크에서 악성 활동을 진행하기 위해 다른 도구 및 TTP를 활용합니다.

MEDUSA 작전을 통해 FBI는 미국 내 모든 영향을 받은 시스템을 방해하는 데 성공했으며, 국외에서는 지역 당국과 협력하여 탐지 및 개선 지침을 제공하고 Snake 설치를 제거했습니다. 법무부 노트에 자세히 설명된 대로, FBI 전문가들은 Snake 멀웨어가 호스트 컴퓨터나 관련 애플리케이션에 해로운 영향을 미치지 않고 비활성화하고 종료할 수 있는 전용 도구인 PERSEUS를 개발했습니다.

미국 기관 및 동맹국들은 공동 권고를 발표하여 피해를 입은 조직들이 러시아 Snake 멀웨어 인프라를 발견하고 완화 조치를 취할 수 있도록 지원했습니다.

러시아와 연계된 공격 세력이 시작한 사이버 공격의 증가하는 양에 맞서, 사이버 방어자들은 가해자의 악성 활동에 대항하여 주도적으로 방어하기 위해 초반 대응능력을 필요로 합니다. SOC Prime은 러시아 국가 지원 APT에 대한 Sigma 규칙의 광범위한 컬렉션과 함께 조직의 보안 요구에 맞춘 50개의 큐레이션된 탐지 알고리즘을 제공합니다. 자선 기반 Sigma2SaveLives 구독 으로 수익의 100%가 우크라이나 사람들을 위한 초점 지원을 제공하는 데 기부되며, 귀하의 사이버 보안 태세를 크게 강화할 수 있습니다.