은밀한 활동으로 악명 높은 러시아 국가 지원 해킹 그룹 APT29의 최근 사이버공격 확대에 대해 마이크로소프트가 경고발령을 내렸다.

이 경고는 2023년 11월에 마이크로소프트 자체 시스템이 손상되고, 최근에는 휴렛팩커드 엔터프라이즈(HPE)가 APT29의 정교한 공격에 피해를 입으면서 나온 것이다.

마이크로소프트 위협 인텔리전스 팀은 블루브라보, 클로커드 우르사, 코지 베어, 미드나잇 블리자드, 더 듀크로도 알려진 APT29가 대기업을 넘어 공격 대상을 확대하고 있다고 밝혔다. 이 그룹은 주로 미국과 유럽의 정부, 외교 기관, 비정부기구(NGO), IT 서비스 제공 기업들을 타깃으로 공격하고 있다.

APT29는 다양하고 정교한 방법을 사용해 공격 대상 환경에 침투하고 접근 권한을 유지한다. 특히, 이 그룹은 손상되었지만 합법적인 계정을 사용해 우회공격을 하고 OAuth(Open Authorization) 애플리케이션을 악용해 클라우드 인프라에서 횡적 이동을 시도한다.

공격자들은 훔친 자격 증명부터 공급망 공격까지 다양한 초기 액세스 방법을 활용하고 온-프레미스 및 클라우드 환경의 취약점을 악용하는 데 능숙하다.

APT29가 사용하는 독특한 전술은 유출된 사용자 계정을 사용해 OAuth 애플리케이션을 생성하고 조작하는 것이다. 합법적인 것으로 알려진 이러한 애플리케이션은 높은 권한을 부여하고 악의적인 활동을 숨기는 데 활용된다. 원래 유출된 계정이 손실되더라도 이러한 애플리케이션은 지속적인 액세스 권한을 유지할 수 있는 수단을 제공한다.

마이크로소프트는 악성 OAuth 애플리케이션이 APT29가 데이터 유출을 위해 기업 이메일 계정을 표적으로 삼는 마이크로소프트 익스체인지 온라인의 게이트웨이 역할을 한다고 설명했다.

마이크로소프트를 표적으로 삼은 이 공격에서 APT29 그룹은 비밀번호 스프레이 공격을 사용해 멀티팩터 인증(MFA)이 없는 기존 비프로덕션 테스트 테넌트 계정에 침투했다. 그런 다음 공격자들은 마이크로소프트의 기업 환경에 대한 상승된 액세스 권한을 가진 레거시 테스트 OAuth 애플리케이션을 손상시키는 것으로 방향을 전환했다. 이 애플리케이션을 무기화해 악성 OAuth 애플리케이션을 추가로 만들어 오피스 365 익스체인지 온라인 앱 역할을 부여하고 사서함에 대한 액세스 권한을 제공했다.

APT29의 활동에서 주목할 만한 점은 분산된 주거용 프록시 인프라를 사용해 출처를 숨기고 방대한 IP 주소 네트워크를 통해 손상된 테넌트 및 익스체인지 온라인과 상호 작용할 수 있도록 한다는 것이다. 이로 인해 IP 주소의 잦은 변경으로 인해 기존의 침해 지표(IoC) 기반 탐지에 혼란을 주었다.

마이크로소프트는 악성 OAuth 애플리케이션 및 암호 스프레이에 대한 사전 예방적 방어 접근 방식을 권고하고 있고, 다단계 인증(MFA)을 구현하고 OAuth 애플리케이션을 면밀히 모니터링하는 것은 APT29의 전술을 저지하는 효과적인 대응책이 될 수 있다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★