Storm-0978 공격 탐지: 러시아 관련 해커들이 CVE-2023-36884를 악용하여 국방 및 공공 부문 조직을 겨냥한 백도어를 확산시킴
목차:
사이버 보안 연구자들이 러시아가 지원하는 Storm-0978 aka DEV-0978 그룹이 새로 시작한 공격 작전을 공개했습니다. 이 그룹은 또한 RomCom으로 추적됩니다 이들과 연관된 악성 백도어의 이름에 기반하여입니다. 이 캠페인에서는 해커들이 유럽과 북미의 방위 조직 및 공공 기관을 대상으로, RCE 취약점 CVE-2023-36884와 우크라이나 세계 의회 관련 미끼를 악용하여 피싱 공격 벡터를 활용하고 있습니다.
Storm-0978 공격 탐지
우크라이나와 그 동맹국에 대한 일련의 공격으로 유명한 Storm-0978 러시아가 지원하는 해킹 그룹에 기인한 악성 작전의 양이 증가함에 따라 방어자들은 그들의 사이버 회복력을 강화하는 방법을 찾고 있습니다. CVE-2023-36884 결함 남용 관련 최신 피싱 캠페인을 조직이 신속히 탐지할 수 있도록 SOC Prime 팀은 관련 Sigma 규칙을 아래 링크를 통해 제공합니다:
의심스러운 MSOffice 자식 프로세스 (명령줄을 통해)
이 Sigma 규칙은 20개 이상의 SIEM, EDR, XDR 및 데이터 레이크 솔루션에 맞춰져 있으며, 초기 액세스 및 실행 전술과 관련 피싱 (T1566) 및 클라이언트 실행을 위한 익스플로잇 (T1203) 기술을 다루며 MITRE ATT&CK에 매핑되어 있습니다.
Storm-0978 공격 탐지를 위한 Sigma 규칙의 전체 목록을 얻으려면 탐지 탐색 버튼을 클릭하세요. 간편한 탐지 콘텐츠 검색을 위해 모든 관련 Sigma 규칙은 ‘Storm-0978’ 또는 ‘DEV-0978’이라는 사용자 지정 태그로 필터링됩니다. 그룹의 공격 배후에 있는 심층적인 사이버 위협 상황을 파악하고, 우리의 CTI 및 ATT&CK 참조를 확인하며, 완화 방안을 탐색하고, 연구 시간을 절약하는 더 실용적인 메타데이터를 심층적으로 조사하십시오.
사이버 방어자들은 또한 RomCom 탐지를 위한 전체 Sigma 규칙 스택에 접근할 수 있습니다 이 악성 코드를 사용자에게 유포한 공격자들과 관련된 모든 기존 및 새로운 위협을 사전에 방어할 수 있도록.
Storm-0978 공격 분석: 사이버 첩보 및 랜섬웨어 활동
마이크로소프트 연구팀은 알아냈습니다 Storm-0978 그룹에 의한 새로운 피싱 캠페인 aka DEV-0978가 방위 조직 및 공공 부문 기관을 대상으로 하고 있습니다. 공격자들은 CVE-2023-36884 제로데이 가 실제로 악용되었으며, Microsoft Windows 및 Office의 RCE 취약점으로 CVSS 점수는 8.3이며 Microsoft의 2023년 7월 패치에 추가되었습니다. 최신 적대적 캠페인에서 공격자들은 우크라이나 세계 의회와 연결된 미끼를 이용합니다.
Storm-0978은 여러 랜섬웨어 작전 및 민감한 데이터 도난과 정보 수집을 위한 악성 캠페인을 벌여온 러시아와 연결된 그룹입니다. 이 해킹 집단은 RomCom 백도어의 개발자 및 배포자로도 알려져 있습니다. 2022년 가을, 우크라이나 국가 기관도 RomCom 악성코드 감염을 목표로 한 CERT-UA에 의해 보고된 타깃 피싱 캠페인의 대상이었습니다. DEV-0978은 그들이 배후에 있는 해당 악성 변종들에 기반하여 RomCom으로도 추적됩니다. 최신 2023년 여름 캠페인에서는 CVE-2023-36884의 악용이 RomCom과 유사한 백도어의 확산으로 이어집니다.
Storm-0978의 활동은 주로 금융 및 사이버 첩보의 동기가 그들의 공격 작전 배후에 있음을 드러내며, 다양한 산업 부문이 주요 타겟으로 사용됩니다. 첩보 관련 캠페인에 대해, Storm-0978 위협 행위자들은 우크라이나의 국가 기관들과 군사 조직을 대상으로 피싱 공격 벡터를 남용하고, 우크라이나 관련 정치적 주제를 미끼로 활용합니다. Storm-0978 랜섬웨어 활동은 주로 통신 부문과 금융 기관을 목표로 합니다.
공격에서 사용된 적대자 TTP로는 그룹이 RomCom 악성코드를 배포하기 위해 정당한 소프트웨어의 트로이화된 버전을 사용하는 것이 있으며, 합법적인 유틸리티로 위장한 악성 도메인을 등록하는 것입니다.
RomCom 운영자들은 2022년 하반기부터 사이버 첩보 작전을 시작했습니다. CVE-2023-36884를 무기로 사용하는 최신 6월 캠페인 외에도, Storm-0978 행위자들은 우크라이나 공무원들을 대상으로 한 피싱 공격 물결의 배후있었으며, 특히 DELTA 시스템 사용자들을 목표로 FateGrab/StealDeal 악성코드를 2022년 초 확산시켰습니다. 또 다른 적대적 캠페인은 2022년 가을 중반에 발생했으며, 이 그룹은 우크라이나 군사 및 공공 부문 조직을 대상으로 한 사기 설치 사이트를 생성하고 RomCom을 확산하여 사용자 자격 증명을 획득하기 위한 것이었습니다.
마이크로소프트는 권장하는 완화 조치 목록 을 발표하여 CVE-2023-36884 악용 시도와 관련된 위협을 완화하는 데 도움을 주고자 합니다. Microsoft Defender for Office를 활용하는 회사들은 영향을 받지 않겠지만, 다른 클라이언트들은 잠재적인 공격의 위험에 직면할 수 있습니다. 모든 Office 응용 프로그램이 자식 프로세스를 생성하지 못하도록 하는 공격 표면 감소 규칙을 활용하면 적대자의 악용 시도를 저지할 것입니다. 적용 가능한 또 다른 완화 단계는 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION 레지스트리 키를 구성하는 것입니다.
탐색 SOC Prime 플랫폼을 통한 집단적 사이버 방어 세계 최대의 Sigma 규칙 레포에 접근하여 Uncoder AI 및 Attack Detective와 함께 팀을 무장시켜 탐지 엔지니어링 절차를 더 빠르고 간단하게 만들어 인프라에 대한 블라인드 스팟을 적시에 식별하고, 사냥 작업의 우선 순위를 정하여 방탄 사이버 보안 태세를 구축하십시오.
