투를라 활동 감지: 우크라이나를 겨냥하는 러시아 사이버 스파이 그룹이 10년 된 USB 전달 안드로메다 멀웨어로 새로운 백도어 확산
목차:
USB로 전파되는 악성코드가 초기 접근을 위한 인기 벡터가 되면서, 사이버 방어자들은 조직의 중요한 인프라를 보호하기 위해 경계태세를 유지하고 있습니다. 사이버 보안 연구자들은 최근 러시아와 연계된 사이버 스파이 그룹으로 추적되고 있는 Turla APT 가 구형 안드로메다 USB 전송 악성코드를 활용하여 새로운 백도어와 맞춤형 정찰 도구를 개발하여 우크라이나를 대상으로 한 사이버 공격을 수행하는 악성 활동을 관찰했습니다.
Turla(UNC4210) 작전 탐지: KopiLuwak 및 QUIETCANARY가 오랜 안드로메다 인프라를 통해 전달됨
우크라이나와 동맹국들을 겨냥한 러시아의 사이버 최전선 공격 작전에 따라 공격량이 증가함에 따라 방어자들은 공격자의 공격을 저지하기 위해 힘을 모으고 있습니다. 러시아 지원 사이버 스파이 그룹 Turla의 악성 활동을 조직이 적시에 식별할 수 있도록, SOC Prime 플랫폼은 MITRE ATT&CK®에 매핑된 관련 Sigma 규칙 세트를 큐레이트합니다. 아래 링크를 통해 우리 위협 현상금 개발자들이 작성한 신규 Sigma 규칙에 즉시 접근할 수 있습니다. Aykut Gurses and Zaw Min Htun (ZETA), 우크라이나를 대상으로 한 UNC4210 적대적 캠페인의 일환인 최신 Turla 공격을 탐지하는 규칙입니다:
QUIETCANARY 백도어에 의해 생성된 잠재적 악성 파일 탐지 (파일 이벤트를 통해)
Aykut Gurses가 개발한 이 Sigma 규칙은 손상된 사용자로부터 데이터를 수집하고 유출하는 데 사용되는 .NET 기반 QUIETCANARY 백도어에 의해 생성된 악성 파일을 탐지합니다. 이 규칙은 20개의 SIEM, EDR, XDR 기술과 호환되며 주로 Encrypted Channel(T1573) 기술을 사용하는 명령 및 제어 전술을 다룹니다.
연관된 cmd 라인을 통한 UNC4210 활동의 실행 가능성 (프로세스 생성 통해)
Zaw Min Htun(ZETA)이 작성한 이 Sigma 규칙은 Turla 그룹이 악명 높은 UNC4210 악성 작전의 일환으로 데이터를 수집하기 위해 WinRAR을 사용하는 시도를 탐지합니다. 이 탐지는 Snowflake와 같은 업계 선두의 SIEM, EDR, XDR 및 데이터 레이크 솔루션에서 사용할 수 있으며, 해당 사용자 실행(T1204) 기술을 사용하는 실행 전술을 다룹니다.
우리의 Threat Bounty Program 에 참여하여 Sigma 및 ATT&CK 전문성을 강화하고 자신의 탐지 코드를 기여함으로써 자신의 전문 기술을 수익화할 기회를 얻으세요.
전 세계 사이버 전쟁의 최전선에 있는 SOC Prime은 우크라이나와 그 동맹국들이 러시아의 공격으로부터 방어할 수 있도록 러시아 계열 그룹이 사용하는 모든 TTP에 대한 Sigma 규칙을 계속해서 풍부하게 하고 있습니다. 아래 링크를 따라가면 보안 엔지니어들은 UNC4210 Turla 작전과 관련된 전용 행동 기반 Sigma 규칙 목록에 접근할 수 있습니다:
유출을 위한 데이터 압축 가능성 (cmdline을 통해)
비정상적으로 디렉토리를 전달받은 압축 유틸리티 (cmdline을 통해)
시스템 네트워크 구성 발견 가능성 (cmdline을 통해)
Wuauclt.exe를 통한 코드 실행 가능성 (cmdline을 통해)
클릭하여 탐지 탐색 버튼을 통해 Turla 위협 행위자에 의한 기존 및 새로운 공격을 탐지하기 위한 관련 CTI, MITRE ATT&CK 참조 및 기타 유용한 메타데이터로 풍부하게 보강된 Sigma 규칙의 종합적인 목록을 탐색하십시오:
Turla 그룹 작전, 일명 UNC4210의 우크라이나 타겟팅: 공격 분석
전 세계 사이버 전쟁이 발발한 이후 러시아가 우크라이나를 전면 침공한 이후, 사이버 방어자들은 러시아의 국가 후원 그룹이 우크라이나 및 그 동맹국을 겨냥하여 수행하는 파괴적 공격의 양으로 인해 압도당하고 있습니다. 러시아 관련 Turla 사이버 스파이 그룹, Iron Hunter, Krypton, Uroburos, 또는 Venomous Bear라는 이름으로도 알려져 있으며, 주로 정부, 외교, 군사 조직을 대상으로 다양한 정찰 유틸리티와 맞춤형 악성코드 변종을 사용합니다. 2022년 2월 이후 Turla는 우크라이나를 상대로 한 사이버 스파이 캠페인에 참여했으며, 주로 정찰 노력과 피싱 공격 벡터를 활용하여 자격 증명과 기타 민감한 데이터를 훔치는 데 집중하고 있습니다.
2022년 초가을 Mandiant 연구원들은 UNC4210으로 알려진 Turla APT의 악성 작전을 발견했으며, 이 작전에서 위협 행위자들은 주로 데이터 유출에 사용되는 .NET 기반 백도어 QUIETCANARY와 KopiLuwak 정찰 도구를 배포하기 위해 구형 Andromeda 악성코드(일명 Gamarue)를 활용했습니다. 특히 2년 전인 2019년, Turla 그룹은 자바스크립트 기반 KopiLuwak 트로이 목마 를 정부 기관을 타깃으로 한 사이버 스파이 캠페인에 적용했습니다.
UNC4210 캠페인은 2022년 9월에 시작되었음에도 불구하고, 대상으로 삼은 우크라이나 조직은 2021년 12월에 역사가 오래된 Andromeda 악성코드 변종에 감염되었으며, 침해된 USB 드라이브를 활용했습니다. 사이버 보안 연구자들은 이 UNC4210 캠페인에서 위협 행위자들이 최소한 세 개의 만료된 Andromeda C2 도메인을 사용하여 앞서 언급한 페이로드를 배포했다고 밝혔습니다. Mandiant 연구에 따르면, USB 전송 악성코드는 여전히 인기 있는 초기 접근 벡터로 남아있습니다. 더구나 재등록된 도메인은 감염된 사용자들에게 상당한 위험을 초래하며, 위협 행위자들이 더 많은 악성코드 변종을 전파하여 더 많은 조직을 침해하고 공격 범위를 확장할 수 있게 합니다.
러시아와 연계된 사이버 공격에 적극적으로 방어하면서 우크라이나에 대한 지원 기부를 하고 싶으신가요? 러시아 국가 후원 APT에 대응하는 500+ Sigma 규칙과 함께 선택한 50개의 큐레이트된 탐지 알고리즘을 얻을 수 있는 자선 기반 #Sigma2SaveLives 구독을 이용하세요. 더 알아보기: https://my.socprime.com/pricing/.
