2022-05-18 02:25 (수)
솔라윈즈 공급망 사태 후 1년...공격 배후 추정 그룹 관련 보고서 발표
상태바
솔라윈즈 공급망 사태 후 1년...공격 배후 추정 그룹 관련 보고서 발표
  • 길민권 기자
  • 승인 2021.12.07 22:51
이 기사를 공유합니다

맨디언트, 러시아 공격 그룹이 전 세계 정부 및 기업 대상으로 실시한 공격 관련 보고서 발표

솔라윈즈 공급망 공격 사태가 있었던 2020년 12월로부터 1년의 시간이 지났다. 맨디언트는 미국 현지시간 12월 6일, 솔라윈즈 공급망 공격의 배후로 추정되는 러시아 공격 그룹이 전 세계 정부 및 기업을 대상으로 실시한 공격과 관련해 새로운 보고서를 발표했다.

이번 맨디언트 보고서의 주요 내용은 다음과 같다.

맨디언트는 지난해 솔라윈즈(SolarWinds) 공급망 공격 이후 현재까지 가장 강력한 공격자 중 하나로 인식되는 솔라윈즈 공격의 배후 그룹을 추적하는데 전념하고 있다. 러시아 공격자로 의심되는 이들은 최고 수준의 작전 보안과 스파이 활동에 필요한 고급 기술을 구현한다. 하지만 그들 역시 허점을 보이며, 맨디언트는 계속해서 해당 그룹의 활동을 밝혀내고 그들의 실수로부터 교훈을 얻고 있다. 궁극적으로 이 그룹은 적응력이 있고, 계속해서 진화하는 위협이기 때문에 그들보다 한발 앞서기 위해서는 면밀한 연구가 필요하다.

맨디언트는 전 세계 기업과 정부 기관을 대상으로 한 러시아 공격 그룹 소행으로 추정되는 여러 침투 공격 클러스터를 계속해서 추적하고 있다.

이들의 활동에 대한 평가를 바탕으로 맨디언트는 UNC3004와 UNC2652라는 두 가지 활동 클러스터를 확인했는데 맨디언트는 두 그룹이 마이크로소프트가 노벨륨이라고도 명명한 UNC2452와 연관이 있는 것으로 추측하고 있다.

맨디언트가 최근 관찰한 전술은 다음과 같다.

◇ 2020년 이후 여러 테크 솔루션, 서비스 및 리셀러 기업 침투

◇ 써드파티 공격자가 인포메이션 스틸러(info-stealer) 멀웨어 프로그램 캠페인을 통해 얻은 것으로 추정되는 자격 증명을 사용하여 조직에 대한 초기 액세스 권한 취득

◇ 2021년 1분기 이후 중요한 메일 데이터를 수집하기 위한 어플리케이션 가장(Application Impersonation) 권한이 있는 계정 사용

◇ 피해자와 통신하기 위해 주거용 IP 프록시 서비스와 새롭게 프로비저닝된 지역 기반 인프라 사용

◇ 내부 라우팅 구성을 확인할 수 있는 버추얼 머신 추출을 포함, 조직 환경 내 보안 제한을 우회하는 새로운 TTPs(전술, 기법 및 절차) 사용

◇ CEELOADER라고 불리는 새로운 맞춤형 다운로더의 사용

◇ 스마트폰 푸쉬 알림을 이용한 다중인증 기능 오용

대부분의 경우, 탈취 후 활동으로 러시아 이익과 관련된 데이터의 도난이 포함됐다. 이 외에도 다른 피해 기업 환경에 접근할 수 있는 새로운 경로를 만들기 위한 데이터 도난도 감지되었다. 공격자들은 피해 기업 환경에 대한 지속적인 액세스를 유지하고, 탐지를 방해하며, 공격자 식별에 혼란을 주기 위해 계속해서 기술과 거래 방식을 혁신하고 새로운 방법을 찾고 있다.

맨디언트 보고서는 여러 공격에서 발견된, 현재 분류되지 않은 여러 클러스터의 침투 활동을 분석했는데 맨디언트는 이 클러스터들의 공격 배후에 러시아가 있다고 추정하고 있다. 이번 보고서는 공격자가 초기 침투, 발판 구축, 데이터 수집 및 측면 이동, 위협 행위자의 인프라 프로비저닝 방법과 타협 지표에 사용되는 TTPs의 일부를 다루고 있으며, 맨디언트는 이러한 정보 공유를 통해 여러 조직이 보안 인식을 높이고 더욱 확실한 방어를 할 수 있도록 지원한다.

★정보보안 대표 미디어 데일리시큐!★