유닛 29155 공격 탐지: 글로벌 주요 인프라를 표적으로 하는 러시아 연계 군사 정보 부서

악명 높은 러시아 관계 해킹 그룹들은 방어 병력을 위협하는 도전 과제를 제시하며, 지속적으로 그들의 TTP를 업그레이드하고 탐지 회피 기술을 향상시키고 있습니다. 우크라이나 전쟁 발발 이후, 러시아 지원 APT 집단들은 특히 활동적이며 이 갈등을 새로운 악의적인 접근 방식을 시험하는 장으로 사용하고 있습니다. 더 나아가, 입증된 방법들은 모스크바 정부가 세계적으로 관심을 두고 있는 주요 표적들에 활용됩니다. 예를 들어, 2023년 10월에 러시아의 APT28 그룹은 프랑스의 공공 및 민간 부문을 해킹하였으며, 2022-2023년 동안 우크라이나에서 사용된 것과 동일한 취약성과 TTP를 사용했습니다. the public & private sectors in France, using the same vulnerabilities and TTPs as in Ukraine during 2022-2023.

CISA, NSA, FBI의 최근 공동 권고는 러시아 관계자들로 인한 증가하는 위협에 대해 사이버 방어자들에게 다시 경고합니다. 특히 러시아 군사 정보국 본부(GRU)와 연결된 군사 정보 부대(Unit 29155로 추적됨)가 미국 및 전 세계의 주요 인프라 부문을 대상으로 한 장기적인 공격 작전을 책임지고 있습니다. 이 작전은 사이버 공격자들이 파괴적인 WhisperGate 멀웨어 를 우크라이나의 여러 조직에 배포하면서 2022년 1월로 돌아갑니다. WhisperGate 같은 작전과 우크라이나를 표적으로 삼은 다른 사이버 공격과 함께, 사이버 공격자들은 유럽과 북미의 여러 NATO 회원국, 그리고 유럽, 라틴 아메리카, 중앙 아시아의 여러 국가를 대상으로 네트워크 작전을 수행했습니다.

Unit 29155 공격 탐지

APT 집단으로부터의 증가하는 위협은 사이버 방어자들이 실시간으로 공격을 탐지하고 잠재적 침입에 대한 사전 예방 조치를 취할 수 있도록 극도의 반응성을 요구합니다. Unit 29155 (Cadet Blizzard, Ember Bear, UAC-0056으로도 알려짐)가 주도하는 악의적 작전에 앞서기 위해, 보안 전문가들은 SOC Prime 플랫폼 을 통해 집단적 사이버 방어를 활용할 수 있습니다. 플랫폼은 공격자의 TTP를 다루는 전용 Sigma 규칙 모음을 구성하여 위협 탐지 및 사냥 솔루션과 결합해 위협 조사를 원활히 진행할 수 있도록 합니다.

아래 버튼을 눌러 탐지 탐색 을 즉시 드릴다운하여 AA24-249A 권고에서 설명된 Unit 29155 TTP에 맞춘 맞춤 탐지 스택을 다룹니다. AA24-249A advisory. 이 규칙들은 30개 이상의 SIEM, EDR, Data Lake 기술과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 규칙은 위협 인텔 참조, 공격 타임라인 및 권장 사항을 포함한 광범위한 메타데이터로 보강되어 있습니다.

탐지 탐색

Unit 29155과 연결된 TTP를 다루기 위해 더 많은 규칙을 찾고 있는 사이버 방어자들은 맞춤 태그를 기반으로 Threat Detection Marketplace를 검색할 수 있습니다: “Cadet Blizzard,” “DEV-0586,” “Ember Bear,” “Frozenvista,” “UNC2589,” “UAC-0056,” “Unit 29155.” using custom tags based on the group identifiers: “Cadet Blizzard,” “DEV-0586,” “Ember Bear,” “Frozenvista,” “UNC2589,” “UAC-0056,” “Unit 29155.”

GRU Unit 29155가 정찰 및 초기 접속을 위해 알려진 취약점을 활용하는 경향이 있는 한, 보안 실무자들은 아래 링크를 통해 조명 받고 있는 CVE들의 활용 시도를 다루는 전용 Sigma 규칙 모음에 접근할 수 있습니다.

CVE-2020-1472 활용 시도를 탐지하는 Sigma 규칙 

CVE-2021-26084 활용 시도를 탐지하는 Sigma 규칙

CVE-2021-3156 활용 시도를 탐지하는 Sigma 규칙 

CVE-2021-4034 활용 시도를 탐지하는 Sigma 규칙 

CVE-2022-26138 활용 시도를 탐지하는 Sigma 규칙

CVE-2022-26134 활용 시도를 탐지하는 Sigma 규칙 

게다가, 그룹은 주로 표준 적군 모의 기술과 Raspberry Robin, SaintBot 같은 널리 사용 가능한 도구를 사용하며, 다른 사이버 공격자들과 전술을 자주 공유합니다. 이러한 중복성은 그들의 활동을 정확히 규명하는 데 어려움을 야기합니다. 주목받고 있는 도구가 포함된 공격을 탐지하기 위해 사이버 방어자들은 아래 규칙 목록을 참조할 수 있습니다.

SaintBot과 연관된 악성 활동을 탐지하는 Sigma 규칙 

Raspberry Robin과 연관된 악성 활동을 탐지하는 Sigma 규칙 

위협 조사를 간소화하기 위해 보안 전문가들은 Detection Engineering을 위한 업계 최초의 AI 공동 파일럿인 Uncoder AI를 사용하여 관련 권고에서 제공하는 침해 지표를 즉시 사냥할 수 있습니다. Uncoder AI는 IOC 패키저 역할을 하여 사이버 방어자들이 IOC를 손쉽게 해석하고 맞춤 사냥 쿼리를 생성할 수 있도록 합니다. 그런 다음 이러한 쿼리를 선호하는 SIEM 또는 EDR 시스템에 원활하게 통합하여 즉시 실행할 수 있습니다.

Unit 29155 공격 분석

The AA24-249A advisory 2024년 9월 5일 미국의 사이버 보안 및 인프라 보안청 (CISA), 국가 안보국 (NSA), 연방 수사국 (FBI)이 발행한 권고에서 GRU 161st Specialist Training Center (Unit 29155)와 연결된 러시아 관계의 사이버 공격자로 인해 탈진한 대규모 공격 작전이 경고되었습니다.

영국의 NCSC는 Unit 29155가 주로 현역 GRU 장교로 구성되어 있지만, 알려진 사이버 범죄자와 중개인을 포함하여 비GRU 인원도 참여하고 있다고 밝혔습니다. 이 그룹은 GRU와 연결된 다른 주요 사이버 유닛, 예를 들어 Unit 26165 (Fancy Bear) 및 Unit 74455 (Sandworm).

)와는 다르게 운영됩니다. 2022년 1월, GRU 사이버 공격자들은 WhisperGate 파괴적인 와이퍼를 우크라이나를 공격하여 그 국가 정부의 온라인 자산을 무력화했습니다. 2022년 1월 17일 현재 최대 70개의 웹사이트가 침입으로 인해 일시적인 성능 문제를 겪었으며, 내각, 7개 부처, 재무부, 국가 응급 서비스 및 국가 서비스가 포함되었습니다. 또한, 여러 비영리 조직 및 주요 우크라이나 IT 기업들이 공격의 희생자가 되었습니다.

권고는 Unit 29155가 유럽 국가, 라틴 아메리카 및 중앙 아시아로 악의적 작전을 확장했으며, 주로 NATO 회원국을 자주 목표로 삼았다고 추가로 언급했습니다. 그들의 사이버 스파이 행위, 파괴 작업, 그리고 허위 정보 캠페인은 모스크바가 전략적으로 관심을 두고 있는 지역의 정부, 금융, 교통, 에너지 및 의료 분야에 주로 집중되었습니다. Unit 29155의 활동은 웹사이트 변조, 인프라 스캐닝, 데이터 탈취 및 정보 유출을 포함하여 주요 시스템과 평판을 저해하는 것을 목표로 했습니다. FBI에 따르면, 최소 26개의 NATO 회원국과 여러 추가 EU 국가에서 14,000건 이상의 도메인 스캐닝 사례가 감지되었습니다.

Unit 29155 사이버 공격자들은 다양한 정부 및 주요 인프라 조직과 연관된 IP 범위를 표적으로 식별되었습니다. 그들은 공개적으로 사용 가능한 Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan 같은 여러 도구를 활용하여 표적 네트워크의 공개 포트, 서비스 및 취약점을 식별하고, 공격을 진행하기 위한 서브도메인을 확보하고, 관심 있는 머신들을 발견하는 등 다양한 작업을 수행했습니다.

Unit 29155 사이버 공격자들은 피해자 네트워크에서 웹 서버 및 기계의 취약점을 식별하기 위해 정찰을 수행합니다. 그들은 GitHub에서 CVE 익스플로잇 스크립트를 획득하지만 주로 정찰을 위해 사용된 것으로 관찰되었습니다. 그들이 획득한 주목할 만한 CVE는 CVE-2020-1472, CVE-2021-3156, CVE-2022-26134등 다수입니다.

게다가, 그 그룹은 일반적인 적군 모의 기술과 Raspberry Robin 및 SaintBot 같은 널리 사용 가능한 도구를 사용하여 그들의 악의적 작전을 진행합니다. 이 기술의 사용은 종종 다른 사이버 공격자들과 중복되어 그들의 활동을 정확히 특정하는 데 어려움을 야기합니다.

Unit 29155 공격의 위험을 최소화하기 위해, 방어자들은 그룹에 의해 무기화된 CVE에 대한 패치를 적용하고 네트워크를 세분화하여 악의적 활동의 확산을 방지하며, 모든 웹 노출 자산에 대한 MFA 인증을 활성화하는 것이 권장됩니다. SOC Prime의 Attack Detective 는 조직들이 포괄적인 위협 가시성을 얻고 탐지 범위를 개선하며, 알림을 위한 저소음 및 고품질 규칙에 접근하여, 자동화된 위협 사냥을 가능하게 하여 사이버 보안 자세를 위험 최적화하는 데 도움을 줍니다.