표적 네트워크에 대한 원격 액세스를 용이하게 하는 이란 APT
최근 최근 보고서에 따르면 이란의 지능형 지속 위협(APT) 해커가 표적 네트워크에 대한 원격 액세스를 돕는 조력자 역할을 하고 있다고 합니다. 이란의 이란 APT 해커는 이란 정보보안부(MOIS)와 연계된 것으로 추정됩니다. 이 문서에서는 이러한 중동 지역의 사이버 공격 자세히 살펴보겠습니다. 시작하겠습니다!
이란 APT 맨디언트가 추적한 UNC1860
Google 소유의 사이버 보안 회사인 Mandiant는 UNC1860 활동 클러스터를 추적하고 있으며, 이전에 Microsoft, Cisco Talos 및 Check Point에서 추적한 다른 침입 세트와 유사점을 공유한다고 밝혔습니다. 이러한 침입 세트에는 다음이 포함됩니다:
- ShroudedSnooper.
- 상처 입은 맨티코어.
- Storm-0861, 이전에는 DEV-0861로 알려졌습니다.
사이버 보안 회사는 다음과 같이 말했습니다. 이란 APT UNC1860은 악성 백도어 모음으로 백도어 및 다양한 목적에 사용되는 도구의 모음이라고 밝혔습니다. 우선 순위가 높은 네트워크에 대한 초기 및 지속적인 액세스를 용이하게 하는 데 관여할 가능성이 있는 것으로 추정됩니다.
이러한 네트워크는 중동의 정부 및 통신 부문에서 분명히 존재한다는 점을 언급할 필요가 있습니다. 배후에 있는 위협 행위자 그룹은 이란 APT 은 2022년 7월 알바니아를 겨냥한 사이버 공격과의 연관성이 밝혀지면서 처음 발견되었습니다.
이 공격에는 ROADSWEEP이라는 랜섬웨어 변종, 제로클리어 와이퍼 변종, CHIMNEYSWEEP 백도어가 사용되었습니다. 이러한 공격 이후에는 노저스티스 및 비비라는 새로운 와이퍼를 사용한 후속 침입이 이어졌습니다.
UNC1860 공격 도구 및 기법
이용 가능한 정보를 감안할 때, 다음과 같이 말할 수 있습니다. 이란 APT 그룹은 초기 발판을 마련하고 장기적인 액세스를 위해 개발된 패시브 백도어를 보유하고 있습니다. 해커 그룹이 사용하는 다른 도구로는 TEMPLEPLAY와 VIROGREEN으로 알려진 두 개의 그래픽 사용자 인터페이스(GUI) 기반 멀웨어 컨트롤러가 있습니다.
이러한 멀웨어 컨트롤은 원격 데스크톱 프로토콜(RDP)을 사용하여 위협에 대상 환경에 대한 원격 액세스를 제공합니다. 또한 페이로드 배포 및 내부 스캐닝과 같은 익스플로잇 후 이니셔티브와 관련된 지침도 제공합니다.
이란 이란 APT 공격 체인은 주로 초기 액세스를 활용하여 스테이샨트(STAYSHANTE) 및 사시야웨이(SASHEYAWAY) 등의 웹 셸과 드로퍼를 배포하는 데 중점을 두고 있습니다. 배포 후 드로퍼는 멀웨어 컨트롤러를 실행하는 데 사용됩니다. 공격 체인의 일부인 다른 주요 도구는 다음과 같습니다:
도구 | 목적 |
오트보트 | 셸코드 페이로드를 로드하고 실행합니다 . |
TOFUDRV | 윈타픽스와 겹치는 데 사용되는 악성 Windows 드라이버. |
토푸로드 | 통신을 위해 문서화되지 않은 입력/출력 제어(IOCTL) 명령을 사용합니다. |
템플릿드롭 | 배포된 파일이 수정되지 않도록 보호합니다. |
템플릿 잠금 | .NET 방어 회피 유틸리티가 Windows 이벤트 로그 서비스를 종료하는 데 사용된 것으로 보입니다. |
터널보이 | 원격 호스트와의 연결을 설정하고 RDP 연결을 관리합니다. |
이란에 대한 입장 공유 이란 APT에 대한 입장을 공유하면서 사이버 보안 연구원들은 언급했습니다 그:
"중동 지역의 긴장이 계속 완화되고 있는 가운데, 공격 대상 환경에 대한 초기 접근 권한을 확보하는 데 능숙한 이 공격자의 능력은 이란 사이버 생태계의 소중한 자산이며, 필요에 따라 변화하는 목표에 대응하는 데 악용될 수 있다고 생각합니다."
결론
이란 APT UNC1860은 원격 액세스를 용이하게 하고 중요한 네트워크에서 장기적인 지속성을 유지하기 위해 정교한 도구와 기술을 배포하여 그 역량을 지속적으로 입증하고 있습니다.
중동의 긴장이 고조됨에 따라 이 APT는 새로운 목표에 적응할 수 있는 중요한 사이버 위협으로 남아 있습니다. 이러한 사이버 위협에 대비하여 강력한 보안 조치 을 사용하는 것은 이제 위험을 낮추고 보호를 보장하는 데 도움이 될 수 있으므로 필수입니다.