중국 연계 사이버 행위자들이 악의적인 활동을 은폐하기 위해 침해된 장치들의 대규모 네트워크, 즉 은밀한 네트워크를 점점 더 많이 사용하고 있습니다. 이러한 전술, 기법, 절차(TTP)의 변화는 개별적으로 조달된 인프라에서 벗어나는 것입니다. 이러한 은밀한 네트워크는 주로 침해된 SOHO(Small Office Home Office) 라우터, IoT(사물 인터넷) 장치 및 스마트 장치로 구성됩니다. 이러한 네트워크를 통해 행위자들은 저비용, 저위험, 부인 가능성으로 사이버 작전을 수행할 수 있어 추적이 어렵습니다. 이들은 정찰부터 악성코드 전달 및 데이터 유출에 이르기까지 사이버 킬 체인의 모든 단계에서 활용됩니다. 중국 정보 보안 회사들이 이러한 은밀한 네트워크를 생성하고 유지한다는 증거가 있습니다. 예를 들어, 20만 개 이상의 장치를 감염시킨 Raptor Train 네트워크는 Integrity Technology Group에서 관리했습니다. Volt Typhoon에서 사용한 KV 봇넷은 주로 취약한 수명이 다한 라우터로 구성되었습니다. 정적 IP 차단 목록에 의존하는 기존의 방어 패러다임은 이러한 봇넷의 동적이고 분산된 특성으로 인해 효과가 떨어지고 있습니다. 방어자들은 네트워크 에지 장치를 매핑하고, 정상적인 연결을 기준선으로 설정하며, 위협 인텔리전스를 활용하여 적응해야 합니다. 다단계 인증을 구현하고 IP 주소 또는 지리적 허용 목록을 사용하는 것이 중요한 보호 조치입니다. 더 크거나 위험도가 높은 조직은 제로 트러스트 정책을 통해 보안을 더욱 강화하고 인터넷에 노출된 IT 자산을 줄일 수 있습니다. 가장 표적이 되는 개체는 이러한 은밀한 네트워크를 별도의 위협으로 적극적으로 추적하고 추적하는 것이 좋습니다. 포괄적인 사이버 보안 모범 사례는 이러한 진화하는 위협에 대한 방어에 여전히 근본적입니다.

이 권고는 이란과 연계된 사이버 공격자들이 미국의 핵심 기반 시설을 표적으로 삼고 있으며, 특히 Rockwell Automation/Allen-Bradley PLC에 초점을 맞추고 있음을 경고합니다. 이 공격자들은 인터넷에 연결된 OT(운영 기술) 장치를 악용하여 프로젝트 파일 및 HMI/SCADA 디스플레이의 데이터를 조작하여 중단을 일으키고, 이로 인해 운영 및 재정적 손실이 발생합니다. 영향을 받는 분야는 정부, 물, 폐수, 에너지 분야를 포함합니다. 조직은 제공된 침해 지표(IOC)와 전술, 기술 및 절차(TTP)를 검토해야 합니다. 주요 조치로는 PLC를 인터넷 노출에서 제거하고, 의심스러운 트래픽에 대한 로그를 확인하며, 관련 기관에 연락하는 것이 있습니다. 공격은 해외 기반 IP 주소를 사용했으며 OT 장치에서 사용되는 특정 포트를 표적으로 삼았습니다. FBI는 이러한 공격이 중단을 유발하기 위한 지속적인 캠페인의 일부라고 평가합니다. 이 권고에는 공격자들이 사용한 IP 주소 목록과 MITRE ATT&CK 기술이 포함되어 있습니다. 권장되는 완화 조치는 CISA 및 NIST의 교차 부문 사이버 보안 성과 목표 2.0과 일치합니다. 조직은 또한 Rockwell Automation의 보안 지침을 참조해야 합니다. 유사한 공격은 이전에 CyberAv3ngers 그룹의 소행으로 밝혀졌습니다.

CISA는 미국 연방 기관에서 엔드포인트 탐지 및 대응 도구가 의심스러운 활동을 탐지한 후 사이버 사고에 대응했습니다. 해당 기관은 두 개의 GeoServer에서 CVE-2024-36401을 악용하여 침해당했습니다. 이 취약점은 악용되기 직전에 공개되었으며, 공격자가 원격 코드 실행 권한을 얻을 수 있도록 했습니다. 공격자는 3주 동안 탐지되지 않은 채 다른 서버로 측면 이동했습니다. 이번 사고에서 얻은 주요 교훈은 심각한 보안 실패를 강조합니다. 특히 공개 시스템의 취약점을 신속하게 해결하는 것이 필수적입니다. 조직은 제3자 지원을 용이하게 하는 것을 보장하며 정기적으로 사고 대응 계획을 테스트하고 업데이트해야 합니다. 위협을 시기적절하게 탐지하기 위해서는 엔드포인트 탐지 및 대응 경고를 지속적으로 검토하는 것이 중요합니다. 또한 효과적인 사고 분석을 위해 포괄적이고 중앙 집중식 로깅을 구현하는 것도 필수적입니다. 공격자는 정찰, 리소스 개발 및 공격의 다양한 단계를 위해 공개적으로 사용 가능한 도구를 사용했습니다. 지속성을 위해 웹 쉘, cron 작업 및 유효한 계정을 사용했습니다. 알려진 Linux 취약점을 사용하여 권한 상승 시도가 이루어졌습니다. 방어 회피 전술에는 간접 명령 실행 및 RingQ와 같은 도구 사용이 포함되었습니다. 자격 증명 액세스는 무차별 대입 기술과 서비스 계정 악용을 통해 달성되었습니다. 탐색 노력에는 네트워크 스캐닝 및 취약점 평가 도구가 포함되었습니다. CISA는 조직이 유사한 공격을 방지하는 데 도움이 되는 침해 지표 및 기술 세부 정보를 제공합니다.

"이 권고는 여러 국제 사이버 보안 기관이 발행했으며, 전 세계 네트워크를 대상으로 하는 중국 정부 지원 사이버 공격에 대해 자세히 설명합니다. 이 공격들은 종종 특정 중국 기업과 연관되며, 통신, 정부 및 기반 시설 네트워크에 집중됩니다. 공격자들은 라우터를 포함한 장치를 침해하여 초기 접근을 확보한 후, 신뢰할 수 있는 연결을 사용하여 다른 네트워크로 확산됩니다. 이들은 알려진 취약점, 특히 엣지 장치의 취약점을 활용하며, 새로 발견된 취약점도 적극적으로 악용하고 있습니다. 사용되는 기술에는 액세스 제어 수정, 포트 개방, 터널 사용 등이 포함되어 있으며, 이를 통해 종종 진정한 출처를 숨기면서 지속적인 접근을 유지합니다. 목표는 스파이 활동을 위한 데이터를 훔치는 것이며, 여기에는 통신 및 이동 추적이 포함됩니다. 이 권고는 전술, 기술 및 절차(TTP)에 대한 세부 정보를 제공하며, 네트워크 방어자들에게 완화 조치를 구현하도록 권장합니다. 여러 알려진 위협 그룹이 이 활동과 연관되어 있지만, 이 권고는 "APT 행위자"라는 일반적인 용어를 사용합니다. 공격자들은 시스코, 팔로알토, 이반티 제품을 대상으로 하는 CVE를 포함한 여러 CVE를 악용하고 있습니다. 조직들은 집단 방어를 개선하기 위해 침해 세부 정보를 보고하도록 촉구됩니다."

사이버 보안 및 인프라 보안국(CISA)과 미국 해안 경비대(USCG)는 중요 인프라 조직에서 사이버 보안 점검을 실시했습니다. 본 권고문은 다른 조직의 보안 태세를 개선하는 데 도움이 되도록 점검 결과를 공유합니다. 악성 활동은 발견되지 않았지만, 여러 사이버 보안 위험이 확인되었습니다. 여기에는 불충분한 로깅, 안전하지 않게 저장된 자격 증명, 공유된 로컬 관리자 자격 증명이 포함되었습니다. 해당 조직은 로컬 관리자 계정에 대한 제한 없는 원격 액세스도 허용했습니다. 또한 IT 및 운영 기술(OT) 자산 간의 네트워크 분할이 불충분했으며, 여러 장치 구성 오류도 발견되었습니다. CISA 및 NIST 사이버 보안 성능 목표와 일치하는 완화 권장 사항이 제공되었습니다. 주요 완화 조치에는 자격 증명을 안전하게 관리하고, 일반 텍스트 저장을 피하며, 최소 권한 원칙을 적용하는 것이 포함됩니다. 잠재적인 침해를 방지하기 위해 조직은 이러한 조치를 시행할 것을 권장합니다. 고유한 관리자 암호와 모든 관리자 액세스에 대한 다단계 인증이 중요합니다. OT 네트워크 액세스를 위해 강화된 배스천 호스트를 사용하는 엄격한 정책을 시행해야 합니다. 모든 시스템에 대한 포괄적이고 상세한 로깅도 권장됩니다.

Interlock 랜섬웨어는 2024년 9월 말에 처음 발견되었으며, 북미와 유럽의 기업 및 중요 인프라를 표적으로 삼습니다. 금전적인 동기로 작동하는 이 랜섬웨어는 데이터 유출 후 암호화하는 이중 갈취 모델을 사용합니다. 초기 접근은 손상된 웹사이트에서의 드라이브 바이 다운로드 및 사회 공학 기법, 특히 ClickFix 기법과 같은 특이한 방법을 통해 이루어집니다. 감염 후 Interlock은 네트워크 내에서 정찰, 자격 증명 탈취 및 측면 이동을 위해 다양한 도구를 사용합니다. 이 랜섬웨어는 주로 가상 머신을 대상으로 하며, .interlock 또는 .1nt3rlock 확장자를 가진 파일을 암호화합니다. 초기에는 몸값 요구 금액이 표시되지 않지만, 피해자가 접촉한 후에 고유 코드와 .onion URL을 통해 전달됩니다. FBI, CISA, HHS 및 MS-ISAC는 이러한 권고문을 발표하여 침해 지표 및 전술, 기법, 절차를 공유하여 완화 노력에 도움을 주고자 합니다. 이 권고문은 Interlock으로부터 보호하기 위해 강력한 엔드포인트 탐지 및 대응(EDR) 도구를 구현하는 것을 강조합니다. Interlock과 Rhysida 랜섬웨어 간의 유사점이 언급되었습니다. 조직은 위험을 줄이기 위해 제공된 완화 권장 사항을 따르는 것이 좋습니다. 이 권고문은 공격자가 사용한 도구 목록을 포함하는 표로 마무리됩니다.

사이버 보안 및 인프라 보안 기관(CISA)은 유틸리티 청구 소프트웨어 공급업체의 고객을 타겟으로 SIMPLEHELP 원격 모니터링 및 관리(RMM)에 있는 취약점을 악용하여 랜섬웨어 행위자들이 조직을 위협하고 있다는 경고를 발행하고 있다. 랜섬웨어 행위자들은 2025년 1월부터 SIMPLEHELP RMM의 패치되지 않은 버전을 타겟으로 삼고 있다. SIMPLEHELP 버전 5.5.7 및 이전 버전에는 경로 추적 취약점인 CVE-2024-57727를 포함하여 여러 취약점이 있다. CISA는 2025년 2월 13일에 CVE-2024-57727를 알려진 취약점(KEV) 카탈로그에 추가했다. CISA는 소프트웨어 공급업체, 다운스트림 고객, 최종 사용자에게 확인된 위협 또는 위협 위험에 따라 즉시 권장 대응책을 구현할 것을 촉구하고 있다. 대응책에는 SIMPLEHELP 서버 인스턴스를 인터넷에서 분리하거나 서버 프로세스를 중단, SIMPLEHELP의 최신 버전으로 업그레이드, 위협 탐지 조치를 통해 위협 증거를 찾는 것이 포함된다. CISA는 또한 위험을 줄이기 위해 예방적 대응책을 구현할 것을 추천하고 있다. 예방적 대응책에는 강력한 자산 인벤토리 유지, 일일 시스템 백업, 제3자 공급업체와의 개방적인 의사 소통 채널을 포함한다. 시스템이 랜섬웨어에 의해 암호화된 경우 CISA는 영향을 받은 시스템을 인터넷에서 분리, 운영 체제를 다시 설치, 시스템을 지우고 깨끗한 백업에서 복원하는 것을 추천하고 있다.

FBI와 CISA는 컴퓨터 네트워크에 침투하여 미국의 여러 중요 인프라 부문에 걸쳐 개인 및 조직의 민감한 정보를 유출할 수 있는 LummaC2 멀웨어에 대한 공동 주의보를 발표했습니다. 멀웨어는 최근 2025년 5월까지 관찰되었으며 손상 지표는 2023년 11월로 거슬러 올라갑니다. LummaC2는 일반적으로 스피어피싱 하이퍼링크 및 첨부 파일을 통해 배포되며 표준 사이버 보안 조치를 우회할 수 있습니다. 일단 감염되면 멀웨어는 개인 식별 정보, 금융 자격 증명 및 다단계 인증 세부 정보를 포함한 민감한 사용자 정보를 유출할 수 있습니다. 멀웨어는 명령 및 제어 서버를 사용하여 지침을 수신하고 데이터를 훔치고, 스크린샷을 찍고, 자신을 삭제할 수 있습니다. 이 권고에는 침해 지표가 포함되어 있으며, 조직이 조치를 취하기 전에 이러한 지표를 조사하고 조사할 것을 권장합니다. FBI 및 CISA는 조직이 LummaC2 맬웨어의 가능성과 영향을 줄이기 위해 권고의 완화 섹션에 있는 권장 사항을 구현하도록 권장합니다. 이 권고는 MITRE ATT&CK Matrix for Enterprise 프레임워크를 사용하여 위협 행위자 활동을 전술 및 기술에 매핑합니다. LummaC2 멀웨어는 2022년부터 러시아어를 사용하는 사이버 범죄 포럼에서 판매되는 것으로 관찰되었으며 21,000명 이상의 피해자로부터 민감한 정보를 훔치는 데 사용되었습니다.

빠른 플럭스는 공격자들이 서버 위치를 숨기고 탐지를 피하기 위해 DNS 레코드를 빠르게 변경하는 악성 기술입니다. 이는 사이버 범죄자와 국가 배후의 행위자들이 탄력적인 C2 인프라를 유지할 수 있도록 하여 심각한 국가 안보 위협을 제기합니다. 여러 기관이 공동으로 발표한 이 권고는 조직과 서비스 제공업체에게 빠른 플럭스 활성화 악성 활동에 대해 경고합니다. 특히 PDNS 제공업체에게 빠른 플럭스 탐지 및 차단 기능을 개발하도록 촉구합니다. 이 문서는 DNS 분석, 네트워크 모니터링 및 위협 인텔리전스를 사용하여 빠른 플럭스를 탐지하고 완화하는 방법에 대한 지침을 제공합니다. 빠른 플럭스는 싱글 및 더블 플럭스와 같은 기술을 활용하여 침해된 호스트와 봇넷을 프록싱에 사용합니다. 이는 탄력성, 익명성을 촉진하고 IP 차단을 효과적으로 우회하여 피싱 및 악성 마켓플레이스를 가능하게 합니다. 이 권고는 위협 인텔리전스 피드, 이상 탐지 및 TTL 분석을 포함한 다층적 탐지 접근 방식을 권장합니다. 완화 전략에는 악성 도메인 및 IP 차단, 평판 필터링 및 향상된 모니터링이 포함됩니다. 빠른 플럭스에 대한 방어를 위해서는 협력과 정보 공유가 중요합니다.

FBI, CISA, 그리고 MS-ISAC은 Medusa 랜섬웨어의 전술, 기법, 절차(TTP) 및 침해 지표(IOC)를 공개하는 공동 권고문을 발표했습니다. Medusa는 2021년 6월 처음 발견된 랜섬웨어 서비스(RaaS) 변종이며, 2025년 2월 기준으로 다양한 중요 인프라 부문의 300개 이상의 피해자에게 영향을 미쳤습니다. Medusa 공격자는 이중 갈취 모델을 사용하여 피해자의 데이터를 암호화하고 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 위협합니다. 공격자들은 일반적으로 피싱 캠페인과 패치되지 않은 소프트웨어 취약점 악용을 통해 잠재적 피해자에 대한 초기 접근 권한을 얻기 위해 초기 접근 브로커(IAB)를 활용합니다. 일단 발판을 마련하면 Medusa 공격자는 초기 사용자, 시스템 및 네트워크 열거에 시스템 자체의 기능(LOTL)과 합법적인 도구를 사용합니다. 또한 네트워크 및 파일 시스템 열거와 Ingress Tool Transfer 기능 활용을 위해 PowerShell과 Windows 명령 프롬프트를 사용합니다. Medusa 공격자는 certutil 및 PowerShell 탐지 회피 기법을 포함한 다양한 회피 기법을 사용하여 탐지를 피하려고 시도합니다. 또한 합법적인 원격 접속 소프트웨어를 사용하여 네트워크를 가로질러 이동하고 탈취 및 암호화할 파일을 식별하는 것으로 관찰되었습니다. 마지막으로 Medusa 공격자는 Rclone을 사용하여 C2 서버로 데이터 탈취를 용이하게 하고 이중 갈취 모델을 사용하여 피해자에게 돈을 요구합니다.

미국 연방수사국(FBI), 사이버 보안 및 인프라 보안 기관(CISA), 다중 국가 정보 공유 및 분석 센터(MS-ISAC)는 고스트(크링) 랜섬웨어 변종에 대한 정보를 제공하기 위해 공동 자문을 발표했습니다. 중국에 위치한 고스트 악용자는 2021년 초부터 금전적 이익을 위해 광범위한 공격을 수행해 왔으며, 구버전 소프트웨어와 펌웨어를 사용하는 조직을 표적으로 삼았습니다. 이 그룹은 70개 이상의 국가에 있는 조직을 손상시켰으며, 이는 중요 인프라, 학교, 의료, 정부 네트워크 및 중소기업을 포함합니다. 고스트 악용자는 공개적으로 사용 가능한 코드를 사용하여 공통 취약점 및 노출(CVE)을 악용하여 인터넷에 노출된 서버에 접근합니다. 그들은 랜섬웨어 실행 파일 페이로드를 회전시키고, 암호화된 파일의 파일 확장자를 전환하며, 몸값 메모의 텍스트를 수정하고, 여러 몸값 이메일 주소를 사용하여 귀속을 어렵게 만듭니다. 이 그룹은 취약점을 악용하고 접근하고 피해자 네트워크 내에서 이동하기 위해 다양한 도구, 특히 코발트 스트라이크(Cobalt Strike)를 사용합니다. 이 자문은 고스트 악용자가 사용하는 전술, 기술 및 절차(TTP)에 대한 기술 세부 사항을 제공합니다. 이는 초기 접근, 실행, 지속, 권한 상승, 자격 증명 접근, 방어 회피, 발견, 수평 이동, 데이터 유출 및 명령 및 제어를 포함합니다. 이 그룹은 명령 및 제어 작업을 위해 코발트 스트라이크 비콘 악성 코드와 코발트 스트라이크 팀 서버에 크게 의존합니다. 고스트 랜섬웨어 활동의 영향은 피해자별로 크게 다르며, 일반적으로 이 그룹은 암호화 해제 소프트웨어를 교환하기 위해 수십만 달러에서 수백만 달러의 암호화폐를 요구합니다. 이 자문은 조직이 고스트 랜섬웨어 사건의 가능성과 영향을 줄이기 위해 권장 사항을 구현할 것을 권장합니다.

사이버 보안 및 인프라 보안 기관(CISA)과 연방수사국(FBI)은 Ivanti Cloud Service Appliances (CSA)의 취약점을 악용하는 것에 대한 공동 사이버 보안 고지를 발표했습니다. 취약점은 CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 및 CVE-2024-9380를 포함하며, 2024년 9월에 악용되어 위협 행위자가 초기 접근을 얻고 원격 코드 실행을 수행하며 자격 증명을 얻고 피해자 네트워크에 웹셸을 심었습니다. 행위자는 두 가지 주요 악용 경로를 사용하여 접근을 얻었습니다. 하나는 CVE-2024-8963을 CVE-2024-8190 및 CVE-2024-9380과 함께 사용하고, 다른 하나는 CVE-2024-8963을 CVE-2024-9379와 함께 사용했습니다. 취약점은 Ivanti CSA 버전 4.6x 버전 519 이전에 영향을 미치며, 두 가지 취약점은 CSA 버전 5.0.1 및 이전 버전에도 영향을 미칩니다. Ivanti CSA 4.6은 End-of-Life 상태이며 패치나 서드파티 라이브러리를 더 이상 받지 않으므로 CISA와 FBI는 네트워크 관리자에게 최신 지원 버전으로 업그레이드할 것을 강력히 권고합니다. 네트워크 방어자는 고지서에 있는 탐지 방법과 위협 행위자에 대한 지표(IOCs)를 사용하여 네트워크에서 악의적인 활동을 찾는 것을 권장합니다. 영향을 받은 Ivanti 장치에 저장된 자격 증명 및 민감한 데이터는 손상된 것으로 간주되어야 하며, 조직은 악의적인 활동에 대한 로그 및 아티팩트를 수집하고 분석해야 합니다. 고지서는 취약점에 대한 기술 세부 정보를 제공하며, 이는 MITRE ATT&CK 전략 및 기술을 사용하는 위협 행위자에 의해 사용됩니다. 행위자의 활동은 세 가지 피해자 조직에서 감지되었으며, 이들은 가상 머신을 깨끗하고 업그레이드된 버전으로 교체하여 사고를 완화했습니다.

2023년에 악의적인 사이버 공격자들은 기업 네트워크를 손상시키기 위해 더 많은 제로데이 취약점을 악용하여 더 높은 우선순위의 대상에 대한 작전을 수행할 수 있었습니다. 가장 자주 악용되는 취약점의 대부분은 초기에 제로데이 취약점으로 악용되었으며, 이는 2022년보다 증가한 것입니다. CISA, FBI, NSA, ACSC, CCCS, NCSC-NZ 및 CERT NZ를 포함한 저자 기관은 2023년에 악의적인 사이버 공격자에 의해 악용된 상위 15개의 취약점에 대한 세부 정보를 제공하기 위해 이 공동 사이버 보안 고지를 개발했습니다. 이러한 취약점에는 코드 주입, 버퍼 오버플로우, 권한 상승, 명령어 주입, SQL 주입, 접근 통제 실패, 원격 코드 실행, 잘못된 입력 유효성 검사 및 정보 공개가 포함됩니다. 이 고지는 또한 악의적인 사이버 공격자에 의한 손상 위험을 줄이기 위해 공급업체, 설계자, 개발자 및 최종 사용자 조직에 대한 권장 사항을 제공합니다.

마이크로소프트는 여러 제품의 취약점을 해결하기 위해 보안 업데이트를 발표했습니다. 사이버 위협 행위자는 이러한 취약점 중 일부를 악용하여 영향을 받는 시스템을 제어할 수 있습니다. CISA는 사용자와 관리자가 다음을 검토하고 필요한 업데이트를 적용할 것을 권장합니다. 마이크로소프트 보안 업데이트 가이드(10월)

CISA는 알려진 악용 취약점 카탈로그에 새로운 취약점 CVE-2024-8963을 추가했습니다. 이는 Ivanti Cloud Services Appliance (CSA) 경로 트래버설 취약점입니다. 이러한 유형의 취약점은 악의적인 행위자에 의해 자주 악용되며 연방 기업에 대한 상당한 위험을 초래합니다. 알려진 악용 취약점 카탈로그는 연방 민간 행정 지부 (FCEB) 기관이 지정된 마감일까지 확인된 취약점을 개선하여 네트워크를 활성 위협으로부터 보호하도록 요구하는 BOD 22-01에 의해 설립되었습니다. CISA는 모든 조직이 취약점 관리 관행의 일부로 카탈로그 취약점의 적시 개선을 우선순위로 삼을 것을 강력히 권고합니다. 알려진 악용 취약점 카탈로그는 연방 기업에 대한 상당한 위험을 초래하는 알려진 일반 취약점 및 노출(CVE)의 살아 있는 목록입니다. CISA는 지정된 기준을 충족하는 취약점을 카탈로그에 계속 추가할 것입니다. BOD 22-01 Fact Sheet에는 지시에 대한 더 많은 정보를 제공합니다.

FBI, CISA, NSA는 2020년부터 스파이 활동, 사보타주, 평판 훼손을 목표로 글로벌 기업을 대상으로 사이버 작전을 수행한 러시아 GRU 29155 부대를 확인했습니다. 이 부대는 다른 GRU 사이버 그룹과 달리 2022년 1월 우크라이나 조직을 대상으로 파괴적인 위스퍼게이트 멀웨어를 배포했습니다. 이러한 위협을 완화하기 위해 조직은 시스템 업데이트, 네트워크 세분화, 다단계 인증의 우선순위를 정해야 합니다. 이 권고문은 공개적으로 사용 가능한 도구 및 취약점 사용을 포함하여 유닛 29155가 사용하는 전술, 기술 및 절차를 간략하게 설명합니다. FBI는 29155 부대의 사이버 행위자들을 사이버 작전을 통해 경험을 쌓고 GRU가 아닌 개인에게 지원을 의존하는 하급 GRU 장교로 평가합니다. 사이버 보안 업계에서는 이 그룹을 캐뎃 블리자드, 엠버 베어, 프로즌비스타 등 다양한 이름으로 추적하고 있습니다. 29155 부대는 우크라이나 외에도 나토 회원국과 유럽, 라틴 아메리카, 중앙아시아의 다른 국가들을 표적으로 삼았습니다. 이들의 활동에는 웹사이트 훼손, 인프라 스캔, 데이터 유출, 공공 데이터 유출 등이 포함됩니다. 2022년 초부터는 우크라이나에 대한 원조를 방해하는 데 초점을 맞추고 있습니다. FBI는 26개 NATO 회원국과 여러 EU 국가에서 14,000건 이상의 도메인 스캔 사례를 관찰했습니다. 29155 유닛은 정부 서비스, 금융, 교통, 에너지, 의료 등 중요 인프라 부문을 표적으로 삼고 있습니다. 이들의 정찰 기법에는 Acunetix, Amass, MASSCAN, Shodan과 같은 도구를 사용하여 취약점을 스캔하고 정보를 수집하는 것이 포함됩니다. 이들은 다양한 CVE에 대한 익스플로잇 스크립트를 확보하고 이를 초기 액세스에 사용하는 것이 관찰되었습니다. 이 그룹은 일반적인 레드팀 기법과 공개적으로 사용 가능한 도구를 자주 활용하며 다크웹 포럼을 통해 멀웨어와 로더를 얻습니다. 이들은 다화 IP 카메라의 취약점을 악용하여 인증을 우회하고 데이터를 유출했습니다. 29155 유닛은 쇼단을 사용하여 IoT 장치를 식별하고 IP 카메라의 취약점을 악용하여 액세스 권한을 획득하고 구성 설정을 덤프하는 등 다양한 방법을 사용하여 측면 이동을 수행했습니다. 이 권고문은 이 그룹과 관련된 잠재적 위협을 식별하고 완화하는 데 도움이 되는 침해 지표(IOC) 목록을 제공합니다.

FBI, CISA, MS-ISAC 및 HHS가 공동으로 발표한 사이버 보안 자문은 RansomHub 랜섬웨어 변이안에 대한 정보를 제공하는 것을 목표로 합니다. RansomHub는 랜섬웨어-서비스-모델로 확인되어 다른 주요 변이안의 고위급 제휴사들을 끌어들였습니다. RansomHub는 다양한 부문에서 적어도 210명의 피해자에게 데이터를 암호화하고 탈취했습니다. 제휴사들은 피싱 이메일, 알려진 취약점을 악용하고 암호 스프레이를 사용하여 초기 액세스를 얻습니다. 그런 다음 네트워크 스캐닝을 수행하고, 바이러스 백신 제품을 비활성화하고, Mimikatz, Cobalt Strike 및 기타 도구를 사용하여 네트워크 내부에서 이동합니다. 데이터 탈취 방법은 다양하지만 PuTTY, AWS S3 버킷 및 HTTP POST 요청과 같은 도구를 포함합니다. 랜섬웨어는 각 파일의 끝에 고유한 키와 체크섬을 추가하는 Elliptic Curve 암호화 알고리즘을 사용하여 파일을 암호화합니다. 랜섬웨어 실행 파일은 실행 파일을 암호화하지 않으며 볼륨 그림자 복사본을 삭제하여 시스템 복구를 방해합니다.

FBI, CISA, DC3는 이란 사이버 행위자들이 미국 및 외국 기관을 대상으로 랜섬웨어 공격을 위해 취약점을 악용하고 있다고 경고합니다. 이러한 행위자들은 CVE-2024-3400, CVE-2024-24919, CVE-2023-3519와 같은 원격 장치 취약점을 활용하여 초기 네트워크 액세스를 얻습니다. 네트워크 내부에 들어가면 계정을 생성하고, 보안 소프트웨어를 비활성화하고, 권한을 상승시킵니다. 또한 랜섬웨어 제휴사, 즉 NoEscape, Ransomhouse, ALPHV(BlackCat으로도 알려짐)와 협력하여 암호화 작업을 수행합니다. FBI는 이러한 행위자들이 이란 정부를 지원하는 국가 후원자들이며, 교육, 금융, 의료, 방위 및 정부 부문에서 데이터 도난과 같은 정찰 활동을 수행하고 있다고 평가합니다. 피해자는 교육, 금융, 의료, 방위 및 정부 부문에 속하는 기관들이 포함됩니다. 대응책으로 취약한 장치를 패치하고, 제로 트러스트 정책을 구현하며, 네트워크 활동에서 의심스러운 행위를 모니터링하는 것입니다. 피해가 발생하면 FBI에 연락하거나 CISA에 사건을 보고해야 합니다.

사이버 위협 완화를 위한 이벤트 로깅 모범 사례 이 가이드는 사이버 보안과 네트워크 가시성을 향상시키기 위한 이벤트 로깅 모범 사례를 정의하며, 악의적인 행위자가 사용하는 "지상에서 살기" 기술과 같은 도전을 해결합니다. 효과적인 로깅을 위한 4가지 핵심 요소 - 기업 승인 이벤트 로깅 정책: 환경 전체에 걸쳐 일관된 로깅 접근 방식을 설정합니다. - 중앙 집중식 이벤트 로그 액세스 및 상관 관계: 효율적인 이벤트 로그 모니터링 및 분석을 허용합니다. - 보안 저장소 및 이벤트 로그 무결성: 이벤트 로그의 무결성과 접근성을 보존합니다. - 관련 위협에 대한 탐지 전략: 악의적인 활동과 위협 탐지를 위한 로깅에 초점을 맞춥니다. 이벤트 로그 품질 - 고품질 로그는 보안 이벤트에 대한 자세한 정보를 제공하여 사건 식별 및 위협 탐지를 지원합니다. - LOTL(지상에서 살기) 탐지에는 악의적인 행위자가 사용하는 명령 및 도구에 대한 로그를 캡처하는 것이 포함됩니다. 캡처된 이벤트 로그 세부 정보 - 로그에는 네트워크 방어자가 사건을 조사하고 대응하기 위해 충분한 정보가 포함되어야 합니다. 이는 타임스탬프, 이벤트 유형 및 시스템 식별자와 같은 정보를 포함합니다. - 데이터 형식화에 키-값 쌍을 사용하면 로그 분석을 단순화할 수 있습니다. 운용 기술 고려 사항 - OT(운용 기술) 장치는 일반적으로 제한된 로깅 기능을 가지고 있으므로 보완 솔루션 또는 밴드 로그 통신이 필요할 수 있습니다. 일관성 및 동기화 - 시스템 전체에 걸쳐 일관된 로그 형식 및 타임스탬프는 로그 검색 및 상관 관계를 용이하게 합니다. - 정확한 시간 소스는 사건 간의 연결을 식별하는 데 도움이 됩니다. 추가 리소스 - ASD의 정보 보안 매뉴얼: 이벤트 로그 기록에 대한 지침을 제공합니다. - CISA의 M-21-31 가이드: 로그 수집에 대한 우선순위를 정의합니다. - NIST의 OT 보안 가이드: OT 특정 이벤트 로깅 고려 사항에 대해 다룹니다.

CISA는 Known Exploited Vulnerabilities Catalog에 여섯 개의 새로운 취약점을 추가했습니다. 이는 Microsoft Project, Windows Scripting Engine 및 Windows Kernel의 취약점을 포함합니다. 이러한 취약점은 연방 기관 및 조직에 대한 심각한 위험을 초래하고 있습니다. BOD 22-01은 FCEB 기관이 지정된 마감일까지 이러한 취약점을 개선하도록 요구합니다. BOD 22-01은 FCEB 기관에만 적용되지만 CISA는 모든 조직이 Catalog 취약점의 개선을 우선순위로 삼아 사이버 공격 위험을 완화할 것을 권장합니다. CISA는 특정 기준에 따라 활성적으로 악용되는 취약점을 Catalog에 지속적으로 업데이트할 것입니다.

FBI와 그 파트너들은 북한 정찰총국(RGB) 3국, 즉 Andariel로 알려진 그룹의 지속적인 사이버 정찰 활동에 대한 경고를 발행합니다. 이 그룹은 방위, 항공우주, 원자력 및 엔지니어링 엔티티를 표적으로 하여 평양의 군사 및 원자력 프로그램을 위해 민감한 기술 정보를 획득합니다. 이 그룹은 피싱 캠페인을 수행하고 Log4j와 같은 소프트웨어 취약점을 악용하여 네트워크에 초기 액세스를 얻습니다. 그들은 맞춤형 맬웨어 임플란트와 오픈 소스 툴링을 사용하여 측면 이동, 데이터 탈취 및 원격 액세스를 수행합니다. 이 그룹은 미국 의료 기관에 대한 랜섬웨어 공격을 통해 운영 자금을 조달합니다. 중요 인프라 조직은 취약점을 패치하고 웹 서버를 웹 쉘에서 보호하며 인증 및 원격 액세스 보호를 강화할 것을 권고합니다. 이 그룹의 피해자 목록에는 중전차, 전투기, 잠수함, 원자력 발전소 및 선박 건조 기술이 포함됩니다. 이 그룹의 기술은 MITRE ATT&CK 프레임워크와 일치하여 탐색, 악용 및 실행을 포함합니다. 이 고지문을 공유함으로써 저자 기관들은 Andariel의 악의적인 사이버 정찰 활동에 대항하여 방어하는 데 도움이 되고자 합니다.

CISA는 연방민간집행부 기관에서 SILENTSHIELD 평가를 수행하여 국가급 사이버 작전을 시뮬레이션했습니다. 적색 팀은 패치되지 않은 웹 서버 취약점을 통해 초기 액세스를 얻고 후에 피싱을 통해 Windows 네트워크를 손상했습니다. 팀은 도메인을 완전히 손상시키고 외부 기관으로 이동하여 방어 깊이의 중요성을 강조했습니다. 기관은 악의적인 활동을 방지하고 감지하는 데 충분한 제어가 없었고, 로그 수집 및 분석이 비효율적이었으며 네트워크 방어자를 방해하는 관료적 장벽이 있었습니다. 팀의 findings은 행위 기반 위협 징후, "허용 목록" 접근 방식 및 방어 깊이의 가치를 강조했습니다. CISA는 이러한 원칙을 적용하는 것을 추천합니다. 포함하여 네트워크 분할, 네트워크 트래픽 기준 설정 및 행위 기반 감지를 중점적으로 다루는 것입니다. 소프트웨어 제조업체는 네트워크 보안을 개선하기 위해 안전한 설계 원칙을 구현하고 기본 암호를 제거할 것을 촉구합니다. 이러한 취약점을 해결하면 기관은 도메인 손상 및 악의적인 사이버 활동 위험을 줄일 수 있습니다.

이 권고문은 호주 및 국제 네트워크를 표적으로 삼는 중국 국가 지원 사이버 그룹 APT40의 활동과 위협에 대해 자세히 설명합니다. 활동 개요: - APT40은 정교한 기술을 사용하여 널리 사용되는 소프트웨어(예: Log4J, Atlassian Confluence, Microsoft Exchange)의 취약점을 악용하고 네트워크에 침투합니다. - 이 그룹은 종종 취약한 공용 인프라를 손상시키고 손상된 디바이스를 운영 인프라로 사용합니다. - APT40은 지속성을 확립하고 유효한 자격 증명을 획득하여 액세스를 유지하는 데 중점을 둡니다. 주목할 만한 트레이드크래프트: - APT40은 손상된 소규모 사무실/홈오피스(SOHO) 디바이스를 C2 인프라로 사용하는 방향으로 전환했습니다. - 조달 또는 임대 인프라를 C2 인프라로 사용하는 그룹은 감소했습니다. 툴링: - ASD의 ACSC는 분석 및 탐지를 위해 악성 파일 샘플을 제공했습니다. 사례 연구: - 익명으로 작성된 두 개의 조사 보고서에서 APT40의 기법과 수법을 확인할 수 있습니다. - 한 사례 연구에서는 조직이 의도적으로 표적이 되어 민감한 데이터가 유출되었습니다. - 조사 결과 이 그룹은 네트워크를 통해 측면으로 이동하여 권한 있는 자격 증명을 획득할 수 있는 능력이 있는 것으로 밝혀졌습니다. 결론: APT40은 여전히 전 세계 조직에 심각한 위협이 되고 있습니다. 효과적인 방어 조치를 구현하려면 이들의 전술, 기법, 절차를 이해하는 것이 중요합니다.

이 사이버 보안 고지(CSA)는 조직이 자체 보호를 위해 블랙 바스타(Black Basta)라는 랜섬웨어-서비스-형태(ransomware-as-a-service) 변종에 대한 정보를 제공하는 것을 목표로 합니다. 2022년 4월에 처음 확인된 블랙 바스타는 전 세계의 중요 인프라 구역에서 수많은 조직에 영향을 미쳤습니다. 블랙 바스타의 협력자들은 피싱 이메일이나 소프트웨어 결함과 같은 일반적인 취약점을 악용하여 피해자의 시스템에 접근합니다. 그들은 데이터를 암호화하고 미래의 유리한 위치를 위해 데이터를 훔치는 이중 강박 전략을 사용합니다. 피해자들은 일반적으로 .onion URL을 통해 통신되는 랜섬 요구를 충족하기 위해 특정 시간 프레임이 주어지며, 그렇지 않으면 데이터가 "Basta News" 토르 사이트에 게시될 위험이 있습니다. 블랙 바스타 악용자는 중요성과 민감한 개인 데이터에 대한 잠재적 접근성으로 인해 의료 기관을 표적으로 삼습니다. 조직은 블랙 바스타와 유사한 랜섬웨어 위협에 대한 방어를 강화하기 위해 제공된 완충 조치 권장 사항을 검토하고 구현할 것을 강력히 권장합니다. 이 고지는 블랙 바스타의 전략과 기술을 자세히 설명하며, MITRE ATT&CK 프레임워크에 매핑하여 포괄적인 이해를 제공합니다. 초기 접근, 권한 상승, 방어 회피, 실행 및 각 단계에서 사용되는 도구에 대한 방법을 설명합니다. 또한, CSA는 블랙 바스타와 관련된 파일 해시를 포함한 취약점 징후(IOCs)의 목록을 제공하여 조직이 잠재적인 감염을 탐지하는 데 도움을 줍니다. 블랙 바스타 랜섬웨어 공격의 피해자는 FBI 또는 CISA에 사건을 보고하여 지원과 도움을 받을 수 있습니다.

이 사이버 보안 고지는 아키라 랜섬웨어에 대해 설명하며, 조직이 방어를 강화하는 데 도움이 되도록 전술, 기술 및 절차와 함께 침해 지표를 제공합니다. 2023년 등장 이후 아키라는 세계적으로 다양한 산업을 표적으로 삼아 250개 이상의 조직에 영향을 미치고, 약 4,200만 달러의 몸값을 챙겼습니다. 랜섬웨어는 초기 접근을 얻기 위해 VPN 서비스, RDP, 스피어 피싱 및 취약한 자격 증명을 악용합니다. 침투 후 아키라 악용자는 지속성을 확립하고, 권한을 상승시키고, 침해된 네트워크 내에서 정찰을 수행합니다. 그들은 보안 소프트웨어를 비활성화하는 것과 같은 방어 회피 기술을 사용하고, 데이터를 암호화하기 전에 데이터를 유출하는 이중 암호화 모델을 사용합니다. 데이터 유출은 FileZilla, WinRAR 및 RClone와 같은 도구를 통해 수행되며, 명령 및 제어 채널은 AnyDesk, MobaXterm 및 유사한 도구를 통해 설정됩니다. 암호화는 ChaCha20 및 RSA 알고리즘을 결합한 강력한 하이브리드 방법을 사용하여 시스템 복구를 방해합니다. 피해자는 랜섬 요구에 대한 지침과 함께 비트코인으로 지불을 요구하는 랜섬 노트를 받습니다. 고지는 또한 사용된 도구, 침해 지표 및 두 가지 아키라 변형, 새로운 아키라_v2를 포함하여, 강화된 기능과 진화를 강조합니다.

포보스 랜섬웨어는 2019년 5월부터 주, 지방, 부족 및 영토 정부와 중요 인프라 엔티티를 표적으로 삼고 있는 랜섬웨어-서비스-모델(RaaS)입니다. 포보스 악용자는 피싱 캠페인, IP 스캔 툴 및 노출된 RDP 포트에 대한 무차별 대입 공격을 사용하여 취약한 네트워크에 초기 액세스를 얻습니다. 또한 Smokeloader, Cobalt Strike 및 Bloodhound와 같은 다양한 오픈 소스 툴을 사용하여 손상된 환경 내에서 지속성과 권한 상승을 유지합니다. Elking, Eight, Devos, Backmydata 및 Faust와 같은 포보스 랜섬웨어 변종은 포보스와 유사한 전술, 기술 및 절차(TTP)를 사용하여 포보스 침입과 연결되었습니다. 이 랜섬웨어는 볼륨 섀도우 복사본을 삭제하고, Windows 방화벽을 비활성화하고, 시스템의 부팅 상태 정책을 모든 실패를 무시하도록 설정하는 명령을 사용합니다. 또한 시스템의 백업 카탈로그를 삭제하고 최종 사용자에게 랜섬 노트를 표시합니다. 포보스 악용자는 통신 및 데이터 유출에 다양한 이메일 제공업체를 사용하며, 피해자 목록을 작성하고 도난당한 데이터를 양파 사이트에 호스팅하는 것으로 알려져 있습니다.

고도로 발전된 사이버 정찰 그룹인 SVR은 클라우드 인프라를 표적으로 삼는 새로운 전술을 개발했습니다. 그들은 무차별 공격, 암호 스프레이, 시스템 및 휴면 계정의 취약점을 노리고 있습니다. 또한, 도난된 액세스 토큰을 사용하여 암호와 다중 요소 인증을 우회하는 "MFA 폭탄"을 사용합니다. 이러한 활동에 대응하기 위해 조직은 다중 요소 인증을 구현하고, 비활성 계정을 비활성화하며, 시스템 및 서비스 계정에 최소한의 액세스 권한을 부여해야 합니다. 또한, 장치 등록 정책을 구성하고, 애플리케이션 및 호스트 기반 로그를 모니터링하며, 가능할 때는 제로 터치 등록을 사용해야 합니다. NCSC와 국제 파트너들은 지난 12개월 동안 이러한 전술을 관찰했으며, 이 자문서에 포함된 지침은 네트워크 방어자들이 SVR의 초기 액세스 벡터를 완화하는 데 도움이 됩니다.

사이버 범죄자들은 Ivanti Connect Secure 및 Policy Secure 게이트웨이의 취약점을 적극적으로 악용하여 고급 권한으로 임의의 명령을 실행할 수 있습니다. 이러한 취약점은 지원되는 모든 버전에 영향을 미치고 인증을 우회하고 악의적인 요청을 조작하는 체인 익스플로잇에 사용됩니다. CISA는 Ivanti의 Integrity Checker Tool (ICT)가 충분하지 않다고 판단했는데, 사이버 범죄자들은 이를 속이고 공장 초기화 후에도 루트 수준의 지속성을 유지할 수 있었습니다. 네트워크 방어자들은 사용자 및 서비스 계정 자격 증명의 손상 가능성을 가정하고 악의적인 활동을 추적하여 최신 ICT를 실행하고 패치를 사용할 수 있는대로 적용해야 합니다. 손상된 경우 조직은 영향을 받는 호스트를 격리하고, 다시 이미징하고, 자격 증명을 재설정하고, 악의적인 관리자 계정을 확인하고 제거하고, 수집 및 분석해야 하는 아티팩트를 확인해야 합니다. CISA는 Ivanti 게이트웨이에서 적의 액세스 및 지속의 위험을 고려하여 운영을 계속할지 여부를 평가할 것을 권장합니다. 연방 민간 행정부(FCEB) 기관은 영향을 받는 제품에 대한 특정 조치를 취할 것을 요구하는 연방 긴급 지시(ED) 24-01을 받았습니다. 캐나다 사이버 보안 센터는 영향을 받는 IT 전문가들을 위한 경보와 주기적인 업데이트를 발행했습니다. 악의적인 사이버 활동을 MITRE ATT&CK 프레임워크에 매핑하여 탐지 및 대응을 개선하는 데 도움이 되는 손상 지표(IOCs) 및 YARA 규칙이 제공됩니다.

알 수 없는 위협 행위자가 이전 직원의 네트워크 관리자 자격 증명을 훔쳐서 주정부 기관의 온프레미스 환경에 접근하는 가상 사설망(VPN)을 통해 접근했습니다. 행위자는 훔친 계정과 LDAP 쿼리를 실행하여 사용자 및 호스트 정보를 수집하고, 나중에 암흑 웹 브로커리지 사이트에 게시했습니다. 주요 점: - 위협 행위자는 일반적으로 이전 직원의 계정을 악용하여 조직에 접근합니다. - 행위자는 글로벌 도메인 관리자 계정을 훔쳐 온프레미스 및 Azure 환경에서 행정 특권을 부여받았습니다. - 행위자는 LDAP 쿼리를 실행하여 사용자, 호스트 및 신뢰 관계에 대한 자세한 정보를 수집했습니다. - 행위자는 네트워크 검색 및 파일 탐색을 위해 다양한 서비스에 인증했습니다. - 피해 기관은 직원이 떠난 후 즉시 훔친 직원의 계정을 비활성화하지 않았습니다. - 피해 기관은 암흑 웹 게시물을 발견하고 나서 훔친 계정을 비활성화하고 관리자 특권을 제거하는 즉각적인 조치를 취했습니다. 대응책: - 직원이 떠난 직후 즉시 직원의 계정을 비활성화합니다. - 모든 행정 계정에 다중 요소 인증(MFA)을 구현합니다. - 활성 디렉터리 계정에서 의심스러운 활동을 모니터링하고 감사합니다. - 네트워크 모니터링 및 탐지 도구를 구현하여 불법 접근을 감지합니다. - 정기적인 보안 평가를 수행하여 취약점을 확인하고 대응합니다.

미국 정보 기관들, 즉 CISA, NSA, FBI는 중국 정부가 후원하는 사이버 공격자 집단인 Volt Typhoon이 미국의 중요 인프라 조직을 표적으로 삼고 있다는 것을 확인했습니다. Volt Typhoon은 통신, 에너지, 교통, 물 공급 시스템 등 다양한 분야의 IT 네트워크를 이미 침투했으며, 이는 주로 알려진 취약점이나 제로데이 공격을 통해 이루어졌습니다. 이 집단의 행동은 지리정치적 긴장이나 군사 충돌 시에 중요 인프라 조직의 운영 기술(OT) 자산에 대한 파괴적 공격을 위해 자리를 잡고 있는 것으로 보입니다. Volt Typhoon은 표적 환경에 맞게 전략을 수립하고 지속적인 접근을 유지하기 위해 광범위한 사전 탐색을 수행합니다. 또한 LOTL 기술과 강력한 운영 보안을 통해 지속적인 접근을 유지합니다. 그들은 관리자 자격 증명을 얻기 위해 권한을 상승시키고, 도메인 컨트롤러 및 기타 장치, 포함 OT 시스템에 대한 수평 이동을 허용합니다. Volt Typhoon은 LOTL 바이너리와 PowerShell을 사용하여 이벤트 로그 및 NTDS.dit 파일에서 민감한 데이터를 추출하며, 파일 잠금 메커니즘을 우회합니다. 그들은 오프라인 패스워드 크래킹을 사용하여 평문 패스워드를 얻고, 추가적인 침투와 탐색을 위한 상승된 접근을 허용합니다. Volt Typhoon은 HVAC 시스템 및 에너지 제어 시스템과 같은 OT 자산에 접근하고 조작할 수 있는 능력을 보여주었으며, 이는 중요 인프라에 잠재적인 위협을 가집니다. 국제 파트너들은 각국의 인프라에 대한 위협이 낮지만 미국 인프라의 중단으로 인해 영향을 받을 수 있다고 평가합니다. 중요 인프라 조직은 사고를 예방하거나 대응하기 위해 완충 조치를 구현하고 악의적인 활동을 탐색해야 합니다.

연방수사국(FBI)과 사이버보안 및 인프라구조안전청(CISA)은 Androxgh0st 악성웨어와 관련된 알려진 위협 지표(IOCs) 및 전술, 기술, 절차(TTPs)에 대한 공동 사이버보안 자문서를 발표했습니다. 이 악성웨어는 취약한 네트워크를 확인하고 위협하는 봇넷을 구축하는 데 사용됩니다. 자문서는 IOCs 및 TTPs의 목록을 제공하는데, 이를 통해 Laravel 웹 애플리케이션 프레임워크를 사용하는 웹사이트를 스캔하는 것, PHPUnit 모듈을 대상으로 하는 것, 원격 코드 실행을 위해 CVE-2017-9841을 악용하는 것 등이 포함됩니다. 또한 자문서는 악성웨어가 데이터베이스에 액세스하고 AWS, SendGrid, Twilio 등의 서비스의 자격 증명을 훔치는 기능도 강조합니다. 자문서는 Androxgh0st 감염으로 인한 사이버보안 사건의 가능성과 영향을 줄이기 위해 조직들이 완화 전략을 구현할 것을 권장합니다.