RSS CISA 사이버 보안 자문 노트

RSS CISA 사이버 보안 자문

CISA (사이버 보안 및 인프라 구조 보안 기관)는 조직과 개인에게 잠재적인 위협 및 취약점에 대해 알리는 사이버 보안 자문서를 정기적으로 발행합니다. 이러한 자문서에는 특정 사이버 보안 문제, 위협 행위자들의 전술, 기술 및 절차, 그리고 위협 징후 및 권장 대응 방안이 포함됩니다. CISA는 또한 현재의 보안 문제, 취약점 및 악용에 대한 요약을 제공하는 경보를 제공합니다. 또한, CISA는 산업 제어 시스템 (ICS) 제품의 취약점 및 그에 대한 대응 방안을 중점으로 하는 ICS 자문서도 제공합니다.

노트 스레드

중국 연계 사이버 행위자들이 악의적인 활동을 은폐하기 위해 침해된 장치들의 대규모 네트워크, 즉 은밀한 네트워크를 점점 더 많이 사용하고 있습니다. 이러한 전술, 기법, 절차(TTP)의 변화는 개별적으로 조달된 인프라에서 벗어나는 것입니다. 이러한 은밀한 네트워크는 주로 침해된 SOHO(Small Office Home Office) 라우터, IoT(사물 인터넷) 장치 및 스마트 장치로 구성됩니다. 이러한 네트워크를 통해 행위자들은 저비용, 저위험, 부인 가능성으로 사이버 작전을 수행할 수 있어 추적이 어렵습니다. 이들은 정찰부터 악성코드 전달 및 데이터 유출에 이르기까지 사이버 킬 체인의 모든 단계에서 활용됩니다. 중국 정보 보안 회사들이 이러한 은밀한 네트워크를 생성하고 유지한다는 증거가 있습니다. 예를 들어, 20만 개 이상의 장치를 감염시킨 Raptor Train 네트워크는 Integrity Technology Group에서 관리했습니다. Volt Typhoon에서 사용한 KV 봇넷은 주로 취약한 수명이 다한 라우터로 구성되었습니다. 정적 IP 차단 목록에 의존하는 기존의 방어 패러다임은 이러한 봇넷의 동적이고 분산된 특성으로 인해 효과가 떨어지고 있습니다. 방어자들은 네트워크 에지 장치를 매핑하고, 정상적인 연결을 기준선으로 설정하며, 위협 인텔리전스를 활용하여 적응해야 합니다. 다단계 인증을 구현하고 IP 주소 또는 지리적 허용 목록을 사용하는 것이 중요한 보호 조치입니다. 더 크거나 위험도가 높은 조직은 제로 트러스트 정책을 통해 보안을 더욱 강화하고 인터넷에 노출된 IT 자산을 줄일 수 있습니다. 가장 표적이 되는 개체는 이러한 은밀한 네트워크를 별도의 위협으로 적극적으로 추적하고 추적하는 것이 좋습니다. 포괄적인 사이버 보안 모범 사례는 이러한 진화하는 위협에 대한 방어에 여전히 근본적입니다.
CdXz5zHNQW_ATHApB8wCS.png
CISA는 미국 연방 기관에서 엔드포인트 탐지 및 대응 도구가 의심스러운 활동을 탐지한 후 사이버 사고에 대응했습니다. 해당 기관은 두 개의 GeoServer에서 CVE-2024-36401을 악용하여 침해당했습니다. 이 취약점은 악용되기 직전에 공개되었으며, 공격자가 원격 코드 실행 권한을 얻을 수 있도록 했습니다.공격자는 3주 동안 탐지되지 않은 채 다른 서버로 측면 이동했습니다. 이번 사고에서 얻은 주요 교훈은 심각한 보안 실패를 강조합니다. 특히 공개 시스템의 취약점을 신속하게 해결하는 것이 필수적입니다.조직은 제3자 지원을 용이하게 하는 것을 보장하며 정기적으로 사고 대응 계획을 테스트하고 업데이트해야 합니다. 위협을 시기적절하게 탐지하기 위해서는 엔드포인트 탐지 및 대응 경고를 지속적으로 검토하는 것이 중요합니다. 또한 효과적인 사고 분석을 위해 포괄적이고 중앙 집중식 로깅을 구현하는 것도 필수적입니다.공격자는 정찰, 리소스 개발 및 공격의 다양한 단계를 위해 공개적으로 사용 가능한 도구를 사용했습니다. 지속성을 위해 웹 쉘, cron 작업 및 유효한 계정을 사용했습니다. 알려진 Linux 취약점을 사용하여 권한 상승 시도가 이루어졌습니다.방어 회피 전술에는 간접 명령 실행 및 RingQ와 같은 도구 사용이 포함되었습니다. 자격 증명 액세스는 무차별 대입 기술과 서비스 계정 악용을 통해 달성되었습니다. 탐색 노력에는 네트워크 스캐닝 및 취약점 평가 도구가 포함되었습니다. CISA는 조직이 유사한 공격을 방지하는 데 도움이 되는 침해 지표 및 기술 세부 정보를 제공합니다.
CdXz5zHNQW_HWczZ8ypOU.jpeg
"이 권고는 여러 국제 사이버 보안 기관이 발행했으며, 전 세계 네트워크를 대상으로 하는 중국 정부 지원 사이버 공격에 대해 자세히 설명합니다. 이 공격들은 종종 특정 중국 기업과 연관되며, 통신, 정부 및 기반 시설 네트워크에 집중됩니다. 공격자들은 라우터를 포함한 장치를 침해하여 초기 접근을 확보한 후, 신뢰할 수 있는 연결을 사용하여 다른 네트워크로 확산됩니다. 이들은 알려진 취약점, 특히 엣지 장치의 취약점을 활용하며, 새로 발견된 취약점도 적극적으로 악용하고 있습니다. 사용되는 기술에는 액세스 제어 수정, 포트 개방, 터널 사용 등이 포함되어 있으며, 이를 통해 종종 진정한 출처를 숨기면서 지속적인 접근을 유지합니다. 목표는 스파이 활동을 위한 데이터를 훔치는 것이며, 여기에는 통신 및 이동 추적이 포함됩니다. 이 권고는 전술, 기술 및 절차(TTP)에 대한 세부 정보를 제공하며, 네트워크 방어자들에게 완화 조치를 구현하도록 권장합니다. 여러 알려진 위협 그룹이 이 활동과 연관되어 있지만, 이 권고는 "APT 행위자"라는 일반적인 용어를 사용합니다. 공격자들은 시스코, 팔로알토, 이반티 제품을 대상으로 하는 CVE를 포함한 여러 CVE를 악용하고 있습니다. 조직들은 집단 방어를 개선하기 위해 침해 세부 정보를 보고하도록 촉구됩니다."
Interlock 랜섬웨어는 2024년 9월 말에 처음 발견되었으며, 북미와 유럽의 기업 및 중요 인프라를 표적으로 삼습니다. 금전적인 동기로 작동하는 이 랜섬웨어는 데이터 유출 후 암호화하는 이중 갈취 모델을 사용합니다. 초기 접근은 손상된 웹사이트에서의 드라이브 바이 다운로드 및 사회 공학 기법, 특히 ClickFix 기법과 같은 특이한 방법을 통해 이루어집니다. 감염 후 Interlock은 네트워크 내에서 정찰, 자격 증명 탈취 및 측면 이동을 위해 다양한 도구를 사용합니다. 이 랜섬웨어는 주로 가상 머신을 대상으로 하며, .interlock 또는 .1nt3rlock 확장자를 가진 파일을 암호화합니다. 초기에는 몸값 요구 금액이 표시되지 않지만, 피해자가 접촉한 후에 고유 코드와 .onion URL을 통해 전달됩니다. FBI, CISA, HHS 및 MS-ISAC는 이러한 권고문을 발표하여 침해 지표 및 전술, 기법, 절차를 공유하여 완화 노력에 도움을 주고자 합니다. 이 권고문은 Interlock으로부터 보호하기 위해 강력한 엔드포인트 탐지 및 대응(EDR) 도구를 구현하는 것을 강조합니다. Interlock과 Rhysida 랜섬웨어 간의 유사점이 언급되었습니다. 조직은 위험을 줄이기 위해 제공된 완화 권장 사항을 따르는 것이 좋습니다. 이 권고문은 공격자가 사용한 도구 목록을 포함하는 표로 마무리됩니다.
사이버 보안 및 인프라 보안 기관(CISA)은 유틸리티 청구 소프트웨어 공급업체의 고객을 타겟으로 SIMPLEHELP 원격 모니터링 및 관리(RMM)에 있는 취약점을 악용하여 랜섬웨어 행위자들이 조직을 위협하고 있다는 경고를 발행하고 있다. 랜섬웨어 행위자들은 2025년 1월부터 SIMPLEHELP RMM의 패치되지 않은 버전을 타겟으로 삼고 있다. SIMPLEHELP 버전 5.5.7 및 이전 버전에는 경로 추적 취약점인 CVE-2024-57727를 포함하여 여러 취약점이 있다. CISA는 2025년 2월 13일에 CVE-2024-57727를 알려진 취약점(KEV) 카탈로그에 추가했다. CISA는 소프트웨어 공급업체, 다운스트림 고객, 최종 사용자에게 확인된 위협 또는 위협 위험에 따라 즉시 권장 대응책을 구현할 것을 촉구하고 있다. 대응책에는 SIMPLEHELP 서버 인스턴스를 인터넷에서 분리하거나 서버 프로세스를 중단, SIMPLEHELP의 최신 버전으로 업그레이드, 위협 탐지 조치를 통해 위협 증거를 찾는 것이 포함된다. CISA는 또한 위험을 줄이기 위해 예방적 대응책을 구현할 것을 추천하고 있다. 예방적 대응책에는 강력한 자산 인벤토리 유지, 일일 시스템 백업, 제3자 공급업체와의 개방적인 의사 소통 채널을 포함한다. 시스템이 랜섬웨어에 의해 암호화된 경우 CISA는 영향을 받은 시스템을 인터넷에서 분리, 운영 체제를 다시 설치, 시스템을 지우고 깨끗한 백업에서 복원하는 것을 추천하고 있다.
FBI와 CISA는 컴퓨터 네트워크에 침투하여 미국의 여러 중요 인프라 부문에 걸쳐 개인 및 조직의 민감한 정보를 유출할 수 있는 LummaC2 멀웨어에 대한 공동 주의보를 발표했습니다. 멀웨어는 최근 2025년 5월까지 관찰되었으며 손상 지표는 2023년 11월로 거슬러 올라갑니다. LummaC2는 일반적으로 스피어피싱 하이퍼링크 및 첨부 파일을 통해 배포되며 표준 사이버 보안 조치를 우회할 수 있습니다. 일단 감염되면 멀웨어는 개인 식별 정보, 금융 자격 증명 및 다단계 인증 세부 정보를 포함한 민감한 사용자 정보를 유출할 수 있습니다. 멀웨어는 명령 및 제어 서버를 사용하여 지침을 수신하고 데이터를 훔치고, 스크린샷을 찍고, 자신을 삭제할 수 있습니다. 이 권고에는 침해 지표가 포함되어 있으며, 조직이 조치를 취하기 전에 이러한 지표를 조사하고 조사할 것을 권장합니다. FBI 및 CISA는 조직이 LummaC2 맬웨어의 가능성과 영향을 줄이기 위해 권고의 완화 섹션에 있는 권장 사항을 구현하도록 권장합니다. 이 권고는 MITRE ATT&CK Matrix for Enterprise 프레임워크를 사용하여 위협 행위자 활동을 전술 및 기술에 매핑합니다. LummaC2 멀웨어는 2022년부터 러시아어를 사용하는 사이버 범죄 포럼에서 판매되는 것으로 관찰되었으며 21,000명 이상의 피해자로부터 민감한 정보를 훔치는 데 사용되었습니다.
CdXz5zHNQW_Da7Y5uJ2dv.png
FBI, CISA, 그리고 MS-ISAC은 Medusa 랜섬웨어의 전술, 기법, 절차(TTP) 및 침해 지표(IOC)를 공개하는 공동 권고문을 발표했습니다. Medusa는 2021년 6월 처음 발견된 랜섬웨어 서비스(RaaS) 변종이며, 2025년 2월 기준으로 다양한 중요 인프라 부문의 300개 이상의 피해자에게 영향을 미쳤습니다. Medusa 공격자는 이중 갈취 모델을 사용하여 피해자의 데이터를 암호화하고 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 위협합니다. 공격자들은 일반적으로 피싱 캠페인과 패치되지 않은 소프트웨어 취약점 악용을 통해 잠재적 피해자에 대한 초기 접근 권한을 얻기 위해 초기 접근 브로커(IAB)를 활용합니다. 일단 발판을 마련하면 Medusa 공격자는 초기 사용자, 시스템 및 네트워크 열거에 시스템 자체의 기능(LOTL)과 합법적인 도구를 사용합니다. 또한 네트워크 및 파일 시스템 열거와 Ingress Tool Transfer 기능 활용을 위해 PowerShell과 Windows 명령 프롬프트를 사용합니다. Medusa 공격자는 certutil 및 PowerShell 탐지 회피 기법을 포함한 다양한 회피 기법을 사용하여 탐지를 피하려고 시도합니다. 또한 합법적인 원격 접속 소프트웨어를 사용하여 네트워크를 가로질러 이동하고 탈취 및 암호화할 파일을 식별하는 것으로 관찰되었습니다. 마지막으로 Medusa 공격자는 Rclone을 사용하여 C2 서버로 데이터 탈취를 용이하게 하고 이중 갈취 모델을 사용하여 피해자에게 돈을 요구합니다.
미국 연방수사국(FBI), 사이버 보안 및 인프라 보안 기관(CISA), 다중 국가 정보 공유 및 분석 센터(MS-ISAC)는 고스트(크링) 랜섬웨어 변종에 대한 정보를 제공하기 위해 공동 자문을 발표했습니다. 중국에 위치한 고스트 악용자는 2021년 초부터 금전적 이익을 위해 광범위한 공격을 수행해 왔으며, 구버전 소프트웨어와 펌웨어를 사용하는 조직을 표적으로 삼았습니다. 이 그룹은 70개 이상의 국가에 있는 조직을 손상시켰으며, 이는 중요 인프라, 학교, 의료, 정부 네트워크 및 중소기업을 포함합니다.고스트 악용자는 공개적으로 사용 가능한 코드를 사용하여 공통 취약점 및 노출(CVE)을 악용하여 인터넷에 노출된 서버에 접근합니다. 그들은 랜섬웨어 실행 파일 페이로드를 회전시키고, 암호화된 파일의 파일 확장자를 전환하며, 몸값 메모의 텍스트를 수정하고, 여러 몸값 이메일 주소를 사용하여 귀속을 어렵게 만듭니다. 이 그룹은 취약점을 악용하고 접근하고 피해자 네트워크 내에서 이동하기 위해 다양한 도구, 특히 코발트 스트라이크(Cobalt Strike)를 사용합니다.이 자문은 고스트 악용자가 사용하는 전술, 기술 및 절차(TTP)에 대한 기술 세부 사항을 제공합니다. 이는 초기 접근, 실행, 지속, 권한 상승, 자격 증명 접근, 방어 회피, 발견, 수평 이동, 데이터 유출 및 명령 및 제어를 포함합니다. 이 그룹은 명령 및 제어 작업을 위해 코발트 스트라이크 비콘 악성 코드와 코발트 스트라이크 팀 서버에 크게 의존합니다.고스트 랜섬웨어 활동의 영향은 피해자별로 크게 다르며, 일반적으로 이 그룹은 암호화 해제 소프트웨어를 교환하기 위해 수십만 달러에서 수백만 달러의 암호화폐를 요구합니다. 이 자문은 조직이 고스트 랜섬웨어 사건의 가능성과 영향을 줄이기 위해 권장 사항을 구현할 것을 권장합니다.
사이버 보안 및 인프라 보안 기관(CISA)과 연방수사국(FBI)은 Ivanti Cloud Service Appliances (CSA)의 취약점을 악용하는 것에 대한 공동 사이버 보안 고지를 발표했습니다. 취약점은 CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 및 CVE-2024-9380를 포함하며, 2024년 9월에 악용되어 위협 행위자가 초기 접근을 얻고 원격 코드 실행을 수행하며 자격 증명을 얻고 피해자 네트워크에 웹셸을 심었습니다. 행위자는 두 가지 주요 악용 경로를 사용하여 접근을 얻었습니다. 하나는 CVE-2024-8963을 CVE-2024-8190 및 CVE-2024-9380과 함께 사용하고, 다른 하나는 CVE-2024-8963을 CVE-2024-9379와 함께 사용했습니다. 취약점은 Ivanti CSA 버전 4.6x 버전 519 이전에 영향을 미치며, 두 가지 취약점은 CSA 버전 5.0.1 및 이전 버전에도 영향을 미칩니다. Ivanti CSA 4.6은 End-of-Life 상태이며 패치나 서드파티 라이브러리를 더 이상 받지 않으므로 CISA와 FBI는 네트워크 관리자에게 최신 지원 버전으로 업그레이드할 것을 강력히 권고합니다. 네트워크 방어자는 고지서에 있는 탐지 방법과 위협 행위자에 대한 지표(IOCs)를 사용하여 네트워크에서 악의적인 활동을 찾는 것을 권장합니다. 영향을 받은 Ivanti 장치에 저장된 자격 증명 및 민감한 데이터는 손상된 것으로 간주되어야 하며, 조직은 악의적인 활동에 대한 로그 및 아티팩트를 수집하고 분석해야 합니다. 고지서는 취약점에 대한 기술 세부 정보를 제공하며, 이는 MITRE ATT&CK 전략 및 기술을 사용하는 위협 행위자에 의해 사용됩니다. 행위자의 활동은 세 가지 피해자 조직에서 감지되었으며, 이들은 가상 머신을 깨끗하고 업그레이드된 버전으로 교체하여 사고를 완화했습니다.
FBI, CISA, NSA는 2020년부터 스파이 활동, 사보타주, 평판 훼손을 목표로 글로벌 기업을 대상으로 사이버 작전을 수행한 러시아 GRU 29155 부대를 확인했습니다. 이 부대는 다른 GRU 사이버 그룹과 달리 2022년 1월 우크라이나 조직을 대상으로 파괴적인 위스퍼게이트 멀웨어를 배포했습니다. 이러한 위협을 완화하기 위해 조직은 시스템 업데이트, 네트워크 세분화, 다단계 인증의 우선순위를 정해야 합니다. 이 권고문은 공개적으로 사용 가능한 도구 및 취약점 사용을 포함하여 유닛 29155가 사용하는 전술, 기술 및 절차를 간략하게 설명합니다.FBI는 29155 부대의 사이버 행위자들을 사이버 작전을 통해 경험을 쌓고 GRU가 아닌 개인에게 지원을 의존하는 하급 GRU 장교로 평가합니다. 사이버 보안 업계에서는 이 그룹을 캐뎃 블리자드, 엠버 베어, 프로즌비스타 등 다양한 이름으로 추적하고 있습니다.29155 부대는 우크라이나 외에도 나토 회원국과 유럽, 라틴 아메리카, 중앙아시아의 다른 국가들을 표적으로 삼았습니다. 이들의 활동에는 웹사이트 훼손, 인프라 스캔, 데이터 유출, 공공 데이터 유출 등이 포함됩니다. 2022년 초부터는 우크라이나에 대한 원조를 방해하는 데 초점을 맞추고 있습니다.FBI는 26개 NATO 회원국과 여러 EU 국가에서 14,000건 이상의 도메인 스캔 사례를 관찰했습니다. 29155 유닛은 정부 서비스, 금융, 교통, 에너지, 의료 등 중요 인프라 부문을 표적으로 삼고 있습니다.이들의 정찰 기법에는 Acunetix, Amass, MASSCAN, Shodan과 같은 도구를 사용하여 취약점을 스캔하고 정보를 수집하는 것이 포함됩니다. 이들은 다양한 CVE에 대한 익스플로잇 스크립트를 확보하고 이를 초기 액세스에 사용하는 것이 관찰되었습니다. 이 그룹은 일반적인 레드팀 기법과 공개적으로 사용 가능한 도구를 자주 활용하며 다크웹 포럼을 통해 멀웨어와 로더를 얻습니다. 이들은 다화 IP 카메라의 취약점을 악용하여 인증을 우회하고 데이터를 유출했습니다.29155 유닛은 쇼단을 사용하여 IoT 장치를 식별하고 IP 카메라의 취약점을 악용하여 액세스 권한을 획득하고 구성 설정을 덤프하는 등 다양한 방법을 사용하여 측면 이동을 수행했습니다. 이 권고문은 이 그룹과 관련된 잠재적 위협을 식별하고 완화하는 데 도움이 되는 침해 지표(IOC) 목록을 제공합니다.
사이버 위협 완화를 위한 이벤트 로깅 모범 사례이 가이드는 사이버 보안과 네트워크 가시성을 향상시키기 위한 이벤트 로깅 모범 사례를 정의하며, 악의적인 행위자가 사용하는 "지상에서 살기" 기술과 같은 도전을 해결합니다.효과적인 로깅을 위한 4가지 핵심 요소- 기업 승인 이벤트 로깅 정책: 환경 전체에 걸쳐 일관된 로깅 접근 방식을 설정합니다. - 중앙 집중식 이벤트 로그 액세스 및 상관 관계: 효율적인 이벤트 로그 모니터링 및 분석을 허용합니다. - 보안 저장소 및 이벤트 로그 무결성: 이벤트 로그의 무결성과 접근성을 보존합니다. - 관련 위협에 대한 탐지 전략: 악의적인 활동과 위협 탐지를 위한 로깅에 초점을 맞춥니다.이벤트 로그 품질- 고품질 로그는 보안 이벤트에 대한 자세한 정보를 제공하여 사건 식별 및 위협 탐지를 지원합니다. - LOTL(지상에서 살기) 탐지에는 악의적인 행위자가 사용하는 명령 및 도구에 대한 로그를 캡처하는 것이 포함됩니다.캡처된 이벤트 로그 세부 정보- 로그에는 네트워크 방어자가 사건을 조사하고 대응하기 위해 충분한 정보가 포함되어야 합니다. 이는 타임스탬프, 이벤트 유형 및 시스템 식별자와 같은 정보를 포함합니다. - 데이터 형식화에 키-값 쌍을 사용하면 로그 분석을 단순화할 수 있습니다.운용 기술 고려 사항- OT(운용 기술) 장치는 일반적으로 제한된 로깅 기능을 가지고 있으므로 보완 솔루션 또는 밴드 로그 통신이 필요할 수 있습니다.일관성 및 동기화- 시스템 전체에 걸쳐 일관된 로그 형식 및 타임스탬프는 로그 검색 및 상관 관계를 용이하게 합니다. - 정확한 시간 소스는 사건 간의 연결을 식별하는 데 도움이 됩니다.추가 리소스- ASD의 정보 보안 매뉴얼: 이벤트 로그 기록에 대한 지침을 제공합니다. - CISA의 M-21-31 가이드: 로그 수집에 대한 우선순위를 정의합니다. - NIST의 OT 보안 가이드: OT 특정 이벤트 로깅 고려 사항에 대해 다룹니다.
이 권고문은 호주 및 국제 네트워크를 표적으로 삼는 중국 국가 지원 사이버 그룹 APT40의 활동과 위협에 대해 자세히 설명합니다.활동 개요:- APT40은 정교한 기술을 사용하여 널리 사용되는 소프트웨어(예: Log4J, Atlassian Confluence, Microsoft Exchange)의 취약점을 악용하고 네트워크에 침투합니다. - 이 그룹은 종종 취약한 공용 인프라를 손상시키고 손상된 디바이스를 운영 인프라로 사용합니다. - APT40은 지속성을 확립하고 유효한 자격 증명을 획득하여 액세스를 유지하는 데 중점을 둡니다.주목할 만한 트레이드크래프트:- APT40은 손상된 소규모 사무실/홈오피스(SOHO) 디바이스를 C2 인프라로 사용하는 방향으로 전환했습니다. - 조달 또는 임대 인프라를 C2 인프라로 사용하는 그룹은 감소했습니다.툴링:- ASD의 ACSC는 분석 및 탐지를 위해 악성 파일 샘플을 제공했습니다.사례 연구:- 익명으로 작성된 두 개의 조사 보고서에서 APT40의 기법과 수법을 확인할 수 있습니다. - 한 사례 연구에서는 조직이 의도적으로 표적이 되어 민감한 데이터가 유출되었습니다. - 조사 결과 이 그룹은 네트워크를 통해 측면으로 이동하여 권한 있는 자격 증명을 획득할 수 있는 능력이 있는 것으로 밝혀졌습니다.결론:APT40은 여전히 전 세계 조직에 심각한 위협이 되고 있습니다. 효과적인 방어 조치를 구현하려면 이들의 전술, 기법, 절차를 이해하는 것이 중요합니다.
이 사이버 보안 고지(CSA)는 조직이 자체 보호를 위해 블랙 바스타(Black Basta)라는 랜섬웨어-서비스-형태(ransomware-as-a-service) 변종에 대한 정보를 제공하는 것을 목표로 합니다. 2022년 4월에 처음 확인된 블랙 바스타는 전 세계의 중요 인프라 구역에서 수많은 조직에 영향을 미쳤습니다. 블랙 바스타의 협력자들은 피싱 이메일이나 소프트웨어 결함과 같은 일반적인 취약점을 악용하여 피해자의 시스템에 접근합니다. 그들은 데이터를 암호화하고 미래의 유리한 위치를 위해 데이터를 훔치는 이중 강박 전략을 사용합니다. 피해자들은 일반적으로 .onion URL을 통해 통신되는 랜섬 요구를 충족하기 위해 특정 시간 프레임이 주어지며, 그렇지 않으면 데이터가 "Basta News" 토르 사이트에 게시될 위험이 있습니다. 블랙 바스타 악용자는 중요성과 민감한 개인 데이터에 대한 잠재적 접근성으로 인해 의료 기관을 표적으로 삼습니다. 조직은 블랙 바스타와 유사한 랜섬웨어 위협에 대한 방어를 강화하기 위해 제공된 완충 조치 권장 사항을 검토하고 구현할 것을 강력히 권장합니다. 이 고지는 블랙 바스타의 전략과 기술을 자세히 설명하며, MITRE ATT&CK 프레임워크에 매핑하여 포괄적인 이해를 제공합니다. 초기 접근, 권한 상승, 방어 회피, 실행 및 각 단계에서 사용되는 도구에 대한 방법을 설명합니다. 또한, CSA는 블랙 바스타와 관련된 파일 해시를 포함한 취약점 징후(IOCs)의 목록을 제공하여 조직이 잠재적인 감염을 탐지하는 데 도움을 줍니다. 블랙 바스타 랜섬웨어 공격의 피해자는 FBI 또는 CISA에 사건을 보고하여 지원과 도움을 받을 수 있습니다.
이 사이버 보안 고지는 아키라 랜섬웨어에 대해 설명하며, 조직이 방어를 강화하는 데 도움이 되도록 전술, 기술 및 절차와 함께 침해 지표를 제공합니다. 2023년 등장 이후 아키라는 세계적으로 다양한 산업을 표적으로 삼아 250개 이상의 조직에 영향을 미치고, 약 4,200만 달러의 몸값을 챙겼습니다. 랜섬웨어는 초기 접근을 얻기 위해 VPN 서비스, RDP, 스피어 피싱 및 취약한 자격 증명을 악용합니다. 침투 후 아키라 악용자는 지속성을 확립하고, 권한을 상승시키고, 침해된 네트워크 내에서 정찰을 수행합니다. 그들은 보안 소프트웨어를 비활성화하는 것과 같은 방어 회피 기술을 사용하고, 데이터를 암호화하기 전에 데이터를 유출하는 이중 암호화 모델을 사용합니다. 데이터 유출은 FileZilla, WinRAR 및 RClone와 같은 도구를 통해 수행되며, 명령 및 제어 채널은 AnyDesk, MobaXterm 및 유사한 도구를 통해 설정됩니다. 암호화는 ChaCha20 및 RSA 알고리즘을 결합한 강력한 하이브리드 방법을 사용하여 시스템 복구를 방해합니다. 피해자는 랜섬 요구에 대한 지침과 함께 비트코인으로 지불을 요구하는 랜섬 노트를 받습니다. 고지는 또한 사용된 도구, 침해 지표 및 두 가지 아키라 변형, 새로운 아키라_v2를 포함하여, 강화된 기능과 진화를 강조합니다.
사이버 범죄자들은 Ivanti Connect Secure 및 Policy Secure 게이트웨이의 취약점을 적극적으로 악용하여 고급 권한으로 임의의 명령을 실행할 수 있습니다. 이러한 취약점은 지원되는 모든 버전에 영향을 미치고 인증을 우회하고 악의적인 요청을 조작하는 체인 익스플로잇에 사용됩니다.CISA는 Ivanti의 Integrity Checker Tool (ICT)가 충분하지 않다고 판단했는데, 사이버 범죄자들은 이를 속이고 공장 초기화 후에도 루트 수준의 지속성을 유지할 수 있었습니다.네트워크 방어자들은 사용자 및 서비스 계정 자격 증명의 손상 가능성을 가정하고 악의적인 활동을 추적하여 최신 ICT를 실행하고 패치를 사용할 수 있는대로 적용해야 합니다.손상된 경우 조직은 영향을 받는 호스트를 격리하고, 다시 이미징하고, 자격 증명을 재설정하고, 악의적인 관리자 계정을 확인하고 제거하고, 수집 및 분석해야 하는 아티팩트를 확인해야 합니다.CISA는 Ivanti 게이트웨이에서 적의 액세스 및 지속의 위험을 고려하여 운영을 계속할지 여부를 평가할 것을 권장합니다.연방 민간 행정부(FCEB) 기관은 영향을 받는 제품에 대한 특정 조치를 취할 것을 요구하는 연방 긴급 지시(ED) 24-01을 받았습니다.캐나다 사이버 보안 센터는 영향을 받는 IT 전문가들을 위한 경보와 주기적인 업데이트를 발행했습니다.악의적인 사이버 활동을 MITRE ATT&CK 프레임워크에 매핑하여 탐지 및 대응을 개선하는 데 도움이 되는 손상 지표(IOCs) 및 YARA 규칙이 제공됩니다.
알 수 없는 위협 행위자가 이전 직원의 네트워크 관리자 자격 증명을 훔쳐서 주정부 기관의 온프레미스 환경에 접근하는 가상 사설망(VPN)을 통해 접근했습니다. 행위자는 훔친 계정과 LDAP 쿼리를 실행하여 사용자 및 호스트 정보를 수집하고, 나중에 암흑 웹 브로커리지 사이트에 게시했습니다.주요 점: - 위협 행위자는 일반적으로 이전 직원의 계정을 악용하여 조직에 접근합니다. - 행위자는 글로벌 도메인 관리자 계정을 훔쳐 온프레미스 및 Azure 환경에서 행정 특권을 부여받았습니다. - 행위자는 LDAP 쿼리를 실행하여 사용자, 호스트 및 신뢰 관계에 대한 자세한 정보를 수집했습니다. - 행위자는 네트워크 검색 및 파일 탐색을 위해 다양한 서비스에 인증했습니다. - 피해 기관은 직원이 떠난 후 즉시 훔친 직원의 계정을 비활성화하지 않았습니다. - 피해 기관은 암흑 웹 게시물을 발견하고 나서 훔친 계정을 비활성화하고 관리자 특권을 제거하는 즉각적인 조치를 취했습니다.대응책:- 직원이 떠난 직후 즉시 직원의 계정을 비활성화합니다. - 모든 행정 계정에 다중 요소 인증(MFA)을 구현합니다. - 활성 디렉터리 계정에서 의심스러운 활동을 모니터링하고 감사합니다. - 네트워크 모니터링 및 탐지 도구를 구현하여 불법 접근을 감지합니다. - 정기적인 보안 평가를 수행하여 취약점을 확인하고 대응합니다.
미국 정보 기관들, 즉 CISA, NSA, FBI는 중국 정부가 후원하는 사이버 공격자 집단인 Volt Typhoon이 미국의 중요 인프라 조직을 표적으로 삼고 있다는 것을 확인했습니다.Volt Typhoon은 통신, 에너지, 교통, 물 공급 시스템 등 다양한 분야의 IT 네트워크를 이미 침투했으며, 이는 주로 알려진 취약점이나 제로데이 공격을 통해 이루어졌습니다.이 집단의 행동은 지리정치적 긴장이나 군사 충돌 시에 중요 인프라 조직의 운영 기술(OT) 자산에 대한 파괴적 공격을 위해 자리를 잡고 있는 것으로 보입니다.Volt Typhoon은 표적 환경에 맞게 전략을 수립하고 지속적인 접근을 유지하기 위해 광범위한 사전 탐색을 수행합니다. 또한 LOTL 기술과 강력한 운영 보안을 통해 지속적인 접근을 유지합니다.그들은 관리자 자격 증명을 얻기 위해 권한을 상승시키고, 도메인 컨트롤러 및 기타 장치, 포함 OT 시스템에 대한 수평 이동을 허용합니다.Volt Typhoon은 LOTL 바이너리와 PowerShell을 사용하여 이벤트 로그 및 NTDS.dit 파일에서 민감한 데이터를 추출하며, 파일 잠금 메커니즘을 우회합니다.그들은 오프라인 패스워드 크래킹을 사용하여 평문 패스워드를 얻고, 추가적인 침투와 탐색을 위한 상승된 접근을 허용합니다.Volt Typhoon은 HVAC 시스템 및 에너지 제어 시스템과 같은 OT 자산에 접근하고 조작할 수 있는 능력을 보여주었으며, 이는 중요 인프라에 잠재적인 위협을 가집니다.국제 파트너들은 각국의 인프라에 대한 위협이 낮지만 미국 인프라의 중단으로 인해 영향을 받을 수 있다고 평가합니다.중요 인프라 조직은 사고를 예방하거나 대응하기 위해 완충 조치를 구현하고 악의적인 활동을 탐색해야 합니다.