TA2541 해커 그룹, 스피어 피싱 공격에서 RAT 확산
목차:
2022년 2월 15일, Proofpoint 연구원들은 TA2541 해커 그룹에 대해 경고했습니다. TA2541이라는 범죄 클러스터는 2017년부터 활동해 왔으나 상당히 저평가된 상태로 유지되었으며, 침입된 네트워크 및 장치에서 민감한 데이터를 얻거나 손상된 시스템을 제어할 수 있도록 원격 액세스 트로이 목마(RAT)를 지속적으로 확산하는 것으로 보고되었습니다. 위에 언급된 보고서는 Microsoft, Morphisec, Cisco Talos, Mandiant와 같은 여러 IT 및 사이버 보안 회사에서 제공한 데이터와 일치합니다.
위협 활동 클러스터 TA2541
현재 정보에 따르면 TA2541은 시간에 따라 사용한 전술, 기술 및 절차에서 일관성을 보여온 고급 지속 위협(APT) 조직입니다. TA2541 해커 그룹의 운영자는 다수의 간첩 및 스파이웨어 범죄를 수행하기 위해 많은 악성 이메일 캠페인을 사용해 왔으며, 이는 중요한 산업을 목표로 하고 있으며, 특히 항공, 운송, 국방, 항공우주 및 제조업을 포함한 여러 분야에 영향을 미쳤습니다.
이 위협 활동 클러스터는 수년간 꽤 성공적으로 레이더 아래에 남아 있었기 때문에 그들의 운영에 대한 정보가 많지 않습니다. 그러나 이 APT로 추적 가능한 충분한 사례가 있으며, 그룹의 대부분의 목표는 미국, 유럽 및 중동에 위치하고 있습니다.
TA2541 캠페인
TA2541 APT는 상용 악성코드 를 사용하여 피해자의 네트워크 및 장치를 장악합니다. 연구원들은 TA2541이 매크로가 포함된 Microsoft Word 문서와 함께 피싱 이메일을 대량 발송하여 RAT 페이로드를 전달하는 것을 선호한다고 보고했습니다. 이 대량 피싱 캠페인에서 TA2541 해커는 이메일 수신자를 산업 특화된 주제로 유인합니다. 이러한 미끼 전술은 대개 허위 운송 관련 문제를 중심으로 구성되어 있으며, 피해자가 감염된 문서를 열고, 테이블을 클릭하게 유도하며, 이는 Google Drive나 OneDrive와 같은클라우드 서비스에 호스팅된 페이로드로 연결됩니다.
최신 캠페인에서는 TA2541이 Google Drive URL을 통해 사용할 수 있는 Visual Basic Script (VBS)를 사용했다고 Proofpoint 연구원들은 말했습니다. 이 APT 운영자는 PowerShell을 악용하여 실행 파일을 실행하고 시스템 보호를 손상시키려 시도합니다. 또한, TA2541이 RAT 설치 전에 시스템 정보를 수집하는 것으로 탐지되었습니다.
TA2541 사이버 공격 탐지
TA2541과 관련된 공격에 대한 방어를 강화하고 인프라의 잠재적 손상을 탐지하기 위해, 우리의 세심한 위협 현상금 개발자 Osman Demir:
TA2541 항공, 항공우주, 운송 및 방위 산업을 목표로 (프로세스 생성 경유)
이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, Microsoft Defender ATP, Apache Kafka ksqlDB, Carbon Black, AWS OpenSearch, Securonix, Open Distro.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춘 것이며, 명령 및 스크립트 인터프리터를 주요 기술(T1059)로 사용하여 실행 전술을 다룹니다.
SOC Prime에 가입하세요. SOC Prime은 협업 사이버 방어, 위협 헌팅 및 발견을 위한 세계 최초 플랫폼으로, 20개 이상의 SIEM 및 XDR 플랫폼과 통합됩니다. 최신 위협을 추적하고, 위협 조사를 자동화하며, 20,000명 이상의 보안 전문가 커뮤니티로부터 피드백과 검증을 받아 보안 운영을 강화하세요. 자신의 콘텐츠를 제작하시겠습니까? SOC Prime Threat Bounty 프로그램에 가입해 세계 최대의 사이버 방어 커뮤니티의 힘을 활용하고, 탐지 콘텐츠를 공유하여 안정적인 수익을 올리세요.
