러시아 APT 해커, 고액 피해자를 대상으로 RDP 공격 개시

최근 언론 보도에 따르면 최근 언론 보도, 러시아 APT 해커 가 원격 데스크톱 프로토콜(RDP) 파일을 사용하여 고액의 피해자를 노리는 것이 관찰되었습니다. 전문가들은 이러한 사이버 공격을 수행하기 위해 레드 팀 공격 방법론의 용도가 변경되었다고 주장합니다. 이 글에서는 레드팀 공격 방법론과 사이버 공격, 그리고 위험 노출을 줄이는 데 사용할 수 있는 완화 프로토콜에 대해 자세히 살펴봅니다. 시작하겠습니다!

러시아 APT 해커 공격 초기 발견

사이버 보안 회사인 트렌드 마이크로의 전문가들에 따르면 지능형 지속 위협 (APT) 그룹인 어스 코시체이(Earth Koshchei)가 다양한 표적을 추적하면서 악성 원격 데스크톱 프로토콜(RDP) 공격 기법을 사용했다고 합니다. 이들은 이 악의적인 공격이 2024년 10월에 발생했을 가능성이 높다고 보고 있습니다.

주목할 만한 점은 러시아 APT 해커 는 APT29 및 Midnight Blizzard라고도 알려져 있습니다. 위협 행위자가 사용하는 악성 RDP 기법은 기본적으로 RDP 릴레이, 대략적인 RDP 서버 및 악성 구성 파일을 기반으로 합니다. 이 기법에 성공한 해커는 피해자의 컴퓨터를 부분적으로 제어할 수 있습니다.

악의적으로 획득한 제어권은 데이터 도난 및 유출, 멀웨어 설치에 추가로 악용됩니다. 트렌드마이크로 전문가들은 러시아 APT 해커 10월 22일에 활동의 정점에 도달했다고 언급했습니다. 당시 스피어 피싱 이메일은 다음과 같은 다양한 고가치 표적에게 발송되었습니다:

• 싱크탱크.
• 정부 및 군대. 
• 학술 연구자.
• 기타 우크라이나 대상.

공격과 공격 대상에 대한 자세한 내용을 살펴보기 전에 다음과 같은 이메일에 주목할 필요가 있습니다. 러시아 APT 해커 가 보낸 이메일은 수신자가 악성 RDP 구성 파일을 사용하도록 설계되었습니다. 이 파일을 열면 표적 컴퓨터가 해커가 설정한 릴레이를 사용하여 외부 RDP 서버와 연결을 시도하도록 지시합니다.

최신 조직에는 나가는 RDP 연결을 차단하기 위한 보안 조치가 마련되어 있지만 러시아 APT 해커 는 공격 대상이 보안 수준이 낮은 홈 오피스 환경에서 작업하는 경우 이니셔티브에 성공할 가능성이 높습니다. 추가적인 인사이트를 제공하는 전문가들은 언급했습니다. 그:

"공격 설정에서 RDP 릴레이에 비표준 포트를 사용하여 방화벽 규칙을 피할 수도 있습니다. 스피어 피싱 이메일 공격에 앞서 매우 표적화되고 거의 들리지 않는 캠페인이 10월 22일에 큰 소리로 갑작스럽게 종료된 것으로 보입니다."

이에 대한 준비 러시아 APT 해커 공격 캠페인은 8월 7일부터 8월 8일까지 시작된 것으로 보입니다. 이 기간 동안 해커들은 공격에 사용될 것으로 보이는 이름의 도메인을 등록하기 시작한 것으로 추정됩니다.

이 도메인의 대부분은 호주 및 우크라이나 정부와 관계가 있는 조직을 주요 공격 대상으로 제시했지만, 마지막 도메인은 네덜란드 외무부와 관계가 있는 조직을 노린 것으로 나타났습니다. 

레드팀 및 표적 RDP 공격 

보호에 관심이 있는 사람들은 보호 보장 레드팀은 기본적으로 조직이 사이버 보안 조치를 강화하는 데 필요한 도구와 테스트 방법론을 제공한다는 사실을 알고 있어야 합니다. 러시아 APT 위협 행위자와 같은 온라인 범죄자들은 개발 중인 보안 프로토콜에 세심한 주의를 기울여 악의적으로 사용하기 위해 이를 조작합니다.

이러한 보안 기술에는 발신 RDP 연결을 제한하는 프로토콜이 포함될 수 있습니다. 조사 결과, 전문가들은 RDP 구성 파일 중 하나가 유럽의 한 학술 연구자에게 전송되었으며 지정된 원격 연락처는 다음과 같다고 판단했습니다. "EU-SOUTH-2-AWS[.]ZERO-TRUST[.]SOLUTIONS."

이 파일의 호스트 이름은 진짜 아마존 웹 서비스(AWS) 서버를 나타내지만, 해당 서버는 러시아 APT 해커. 보안 전문가들은 이 파일에 대한 추가 정보를 제공하면서 다음과 같이 말했습니다:

"이 구성은 모든 로컬 드라이브, 프린터, COM 포트, 스마트 카드, 클립보드를 리디렉션하여 피해자의 로컬 시스템에 원격으로 액세스할 수 있게 합니다. 이 설정은 데이터 유출에 악용될 수 있습니다. 연결이 성공적으로 설정되면 AWS 보안 스토리지 연결 안정성 테스트 v24091285697854라는 원격 애플리케이션이 실행됩니다."

RDP 공격 시퀀스

트렌드 마이크로는 분석이 수행될 당시 원격 서버가 다운되어 원격 애플리케이션이 실행할 작업을 확인할 수 없었다고 밝혔습니다. 이러한 공격은 악성 파일이 외부 서버와 연결을 설정하기 시작할 때 시작됩니다. 이 시점부터 공격은 다음과 같이 진행됩니다:  

이러한 공격 기법은 RDP 환경에서 MITM 사용과 관련된 위험성을 강조하며 조직이 강력한 보안 조치를 배포해야 한다는 점을 극명하게 보여줍니다. 

공격 타임라인 및 고가치 피해자를 표적으로 삼은 공격 

공격 타임라인에 관한 한 사이버 보안 전문가들은 다음과 같이 생각합니다. 러시아 APT 해커 200개 이상의 악성 도메인을 설정한 것으로 보고 있습니다. 이 중 193개가 RDP 캠페인에 사용된 것으로 추정됩니다.

또한 도메인 네임은 평일에 일괄적으로 설정되었습니다. 전문가들은 도메인과 관련된 추가 인사이트를 제공하면서 다음과 같이 말했습니다: 

"2024년 8월에 등록된 도메인 이름은 유럽, 미국, 일본, 우크라이나, 호주의 정부 및 군대를 겨냥한 것으로 보입니다. 이달 말에는 클라우드 제공업체 및 IT 기업과 관련된 것으로 보이는 도메인 이름이 등록되었습니다. 그리고 2024년 9월에는 여러 싱크탱크와 비영리 단체를 기반으로 하는 것으로 보이는 도메인 이름이 일괄적으로 등록되었습니다. 또한 줌, 구글 미트, 마이크로소프트 팀즈와 같은 온라인 가상 플랫폼과 관련된 도메인 이름도 여러 개 있었습니다." 

또한 전문가들은 이번 공격에 사용된 백엔드 루즈 RDP 서버가 9월 26일부터 10월 20일까지 설정되었으며 10월 18일부터 21일까지 데이터 유출에 사용된 것으로 추정하고 있습니다. 보고서에 따르면 이 특정 공격의 표적은 군대였으며 그 중 하나가 클라우드 제공업체였다고 합니다. 

이러한 공격의 심각한 결과를 고려할 때, 보안 전문가들은 신뢰할 수 없는 서버에 대한 아웃바운드 RDP 연결을 엄격하게 제한하거나 제거할 것을 권장합니다. 또한 이메일을 통해 RDP 구성 파일을 보내는 것도 위험을 완화하고 보호를 보장하기 위해 금지해야 하는 관행입니다. 

결론 

러시아 러시아 APT 해커의 악성 RDP 파일 악용 사례는 강력한 사이버 보안 조치. 조직은 아웃바운드 RDP를 엄격하게 제한하고 서버 연결을 모니터링하며 피싱 전술에 대해 팀원들을 교육해야 합니다. 선제적인 대응을 통해 잠재적인 피해자는 이러한 정교한 공격을 제한하고 중요한 데이터와 운영을 보호할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 트렌드 마이크로.