볼트 타이푼 공격: 중국 정부 지원 공격자들이 미국 핵심 인프라에 악의적 노력을 집중
목차:
베이징 정부를 대변하는 국가 후원 해커들이 정보 수집을 목표로 한 공격 작전을 조직하고 수년 동안 미국 및 전 세계 조직에 대한 파괴적 캠페인을 전개해 왔으며, 이러한 그룹과 관련된 수많은 공격이 관찰되었습니다. 머스탱 팬더 or APT41.
미국, 영국, 호주, 뉴질랜드, 캐나다의 정보 기관들이 공동으로 발행한 최신 경고에 따르면, 또 다른 중국의 APT 그룹으로 명명된 볼트 타이푼 (일명 뱅가드 팬더, BRONZE 실루엣)이 미국의 중요 인프라를 노리고 있다고 합니다. 국가 후원자들은 5년간 미국의 중요 인프라에 접근하여 접근을 유지하며 일련의 파괴적 작전을 계획했습니다. 특히, 적들은 SOHO 라우터, 방화벽, VPN의 보안 격차를 활용하여 목표 네트워크에 초기 발판을 마련하고 악의적인 활동을 진행했습니다.
볼트 타이푼 공격 탐지
국가 후원자의 위협이 증가함에 따라 상대방의 도구에 새로운 전술, 기법 및 절차가 계속 추가되고 있습니다. 사이버 보안 전문가들은 새로운 악성 수법에 대해 계속 감시하여 조직의 인프라를 보호하고 가능한 공격을 초기 단계에서 탐지해야 합니다. SOC Prime 플랫폼은 위협 사냥 노력을 다음 단계로 끌어올리고 방어를 항상 최신 상태로 유지하기 위한 고급 도구 세트를 제공합니다.
SOC Prime 플랫폼의 큐레이션된 탐지 알고리즘 세트를 사용하여 볼트 타이푼 작업과 관련된 악성 활동을 탐지하세요. 모든 탐지는 25개 이상의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v14 에 매핑되어 보안 전문가가 조사를 간소화할 수 있도록 도와줍니다.
아래의 탐지 탐색 버튼을 눌러 은밀한 볼트 타이푼 공격을 탐지하기 위한 탐지 콘텐츠 번들로 바로 이동하세요. 콘텐츠 검색을 간소화하기 위해 SOC Prime은 사용자 지정 태그 ‘AA24-038A,‘ ‘,볼트 타이푼,‘ ‘,뱅가드 팬더,’ ‘BRONZE 실루엣,’ ‘Dev-0391,’ ‘UNC3236,’ ‘Voltzite,’ 및 ‘Insidious Taurus’” 를 기반으로 CISA 경고 및 해킹 집단 식별자에 따라 필터링을 지원합니다.
AA24-038A CISA 사이버 보안 자문에서 다룬 해킹 그룹 볼트 타이푼 공격 분석
2024년 2월 7일, CISA, NSA 및 FBI는 다른 국제 정보 기관과 함께 AA24-038A 자문을 발행하여 볼트 타이푼 APT의 장기 운영에 대해 경고했습니다. 국가 후원자들은 SOHO 라우터로 구성된 봇넷을 사용하여 통신, 에너지, 교통 및 기타 미국의 중요 인프라 부문 내 여러 조직의 네트워크에 침투했습니다. 연방 사이버 보안 전문가에 따르면, 볼트 타이푼은 사이버 스파이 활동보다는 파괴적 작전을 주로 목표로 삼아 네트워크에 접근하여 환경을 가로질러 이동하고 잠재적으로 OT 자산을 방해하는 것을 목표로 삼았습니다. 주요 초점이 미국에 있을 뿐 아니라, 캐나다, 호주, 뉴질랜드의 조직도 영향을 받을 수 있다고 전문가들은 추측합니다.
특히, 최신 볼트 타이푼 공격은 2023년 12월에 밝혀진 베이징 지원 해커와 연결된 KV 봇넷 맬웨어와 관련이 있을 수 있습니다. 이 맬웨어는 라우터와 VPN 장치를 하이재킹 하여 중국 해커의 통제 하에 있는 강력한 봇넷을 구성하는 데 사용되었습니다.
볼트 타이푼은 2021년부터 사이버 위협 영역에서 공격 작전을 수행하고 있으며, 주로 괌과 미국의 여러 산업 부문에 걸친 중요 인프라를 대상으로 하고 있습니다. 확인된 행동 패턴은 사이버 스파이 활동과 관련된 공격자의 목표와 은밀함과 지속성을 유지하는 것에 대한 집중을 보여줍니다. 레이더를 피해, 볼트 타이푼은 생활형 전술에 크게 의존하며, 유효한 계정을 악용하고 강화된 운영 보안을 유지합니다. 이러한 접근방식으로 해커들은 목표한 네트워크 내에서 5년 이상 감지되지 않은 채 악성 활동을 은밀히 진행할 수 있었습니다.
증가하는 중국 상대 능력의 정교함을 감안할 때 지난 반세기 동안 국가의 지원을 받아 중국은 사이버 전쟁을 강화하고 공격의 범위를 확장함으로써 사이버 전선에서의 입지를 강화할 가능성이 높습니다. SOC Prime에 의존하고 500개 이상의 큐레이션된 탐지 알고리즘에 접근하여 현재 및 신규 APT 공격에 대해 지속적으로 사이버 회복력을 강화하십시오.
