ClickCease 표적 네트워크에 대한 원격 액세스를 용이하게 하는 이란 APT - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

표적 네트워크에 대한 원격 액세스를 용이하게 하는 이란 APT 

by 와자핫 라자

2024년 10월 4일 TuxCare 전문가 팀

최근 최근 보고서에 따르면 이란의 지능형 지속 위협(APT) 해커가 표적 네트워크에 대한 원격 액세스를 돕는 조력자 역할을 하고 있다고 합니다. 이란의 이란 APT 해커는 이란 정보보안부(MOIS)와 연계된 것으로 추정됩니다. 이 문서에서는 이러한 중동 지역의 사이버 공격 자세히 살펴보겠습니다. 시작하겠습니다!

이란 APT 맨디언트가 추적한 UNC1860

Google 소유의 사이버 보안 회사인 Mandiant는 UNC1860 활동 클러스터를 추적하고 있으며, 이전에 Microsoft, Cisco Talos 및 Check Point에서 추적한 다른 침입 세트와 유사점을 공유한다고 밝혔습니다. 이러한 침입 세트에는 다음이 포함됩니다:  

  • ShroudedSnooper.
  • 상처 입은 맨티코어.
  • Storm-0861, 이전에는 DEV-0861로 알려졌습니다.

사이버 보안 회사는 다음과 같이 말했습니다. 이란 APT UNC1860은 악성 백도어 모음으로 백도어 및 다양한 목적에 사용되는 도구의 모음이라고 밝혔습니다. 우선 순위가 높은 네트워크에 대한 초기 및 지속적인 액세스를 용이하게 하는 데 관여할 가능성이 있는 것으로 추정됩니다.

이러한 네트워크는 중동의 정부 및 통신 부문에서 분명히 존재한다는 점을 언급할 필요가 있습니다. 배후에 있는 위협 행위자 그룹은 이란 APT 은 2022년 7월 알바니아를 겨냥한 사이버 공격과의 연관성이 밝혀지면서 처음 발견되었습니다.

이 공격에는 ROADSWEEP이라는 랜섬웨어 변종, 제로클리어 와이퍼 변종, CHIMNEYSWEEP 백도어가 사용되었습니다. 이러한 공격 이후에는 노저스티스 및 비비라는 새로운 와이퍼를 사용한 후속 침입이 이어졌습니다. 

UNC1860 공격 도구 및 기법

이용 가능한 정보를 감안할 때, 다음과 같이 말할 수 있습니다. 이란 APT 그룹은 초기 발판을 마련하고 장기적인 액세스를 위해 개발된 패시브 백도어를 보유하고 있습니다. 해커 그룹이 사용하는 다른 도구로는 TEMPLEPLAY와 VIROGREEN으로 알려진 두 개의 그래픽 사용자 인터페이스(GUI) 기반 멀웨어 컨트롤러가 있습니다.

이러한 멀웨어 컨트롤은 원격 데스크톱 프로토콜(RDP)을 사용하여 위협에 대상 환경에 대한 원격 액세스를 제공합니다. 또한 페이로드 배포 및 내부 스캐닝과 같은 익스플로잇 후 이니셔티브와 관련된 지침도 제공합니다. 

이란 이란 APT 공격 체인은 주로 초기 액세스를 활용하여 스테이샨트(STAYSHANTE) 및 사시야웨이(SASHEYAWAY) 등의 웹 셸과 드로퍼를 배포하는 데 중점을 두고 있습니다. 배포 후 드로퍼는 멀웨어 컨트롤러를 실행하는 데 사용됩니다. 공격 체인의 일부인 다른 주요 도구는 다음과 같습니다:

도구 목적
오트보트 셸코드 페이로드를 로드하고 실행합니다 .
TOFUDRV 윈타픽스와 겹치는 데 사용되는 악성 Windows 드라이버.
토푸로드 통신을 위해 문서화되지 않은 입력/출력 제어(IOCTL) 명령을 사용합니다.
템플릿드롭 배포된 파일이 수정되지 않도록 보호합니다. 
템플릿 잠금 .NET 방어 회피 유틸리티가 Windows 이벤트 로그 서비스를 종료하는 데 사용된 것으로 보입니다.
터널보이 원격 호스트와의 연결을 설정하고 RDP 연결을 관리합니다.

 

이란에 대한 입장 공유 이란 APT에 대한 입장을 공유하면서 사이버 보안 연구원들은 언급했습니다 그:

"중동 지역의 긴장이 계속 완화되고 있는 가운데, 공격 대상 환경에 대한 초기 접근 권한을 확보하는 데 능숙한 이 공격자의 능력은 이란 사이버 생태계의 소중한 자산이며, 필요에 따라 변화하는 목표에 대응하는 데 악용될 수 있다고 생각합니다."

결론

이란 APT UNC1860은 원격 액세스를 용이하게 하고 중요한 네트워크에서 장기적인 지속성을 유지하기 위해 정교한 도구와 기술을 배포하여 그 역량을 지속적으로 입증하고 있습니다.

중동의 긴장이 고조됨에 따라 이 APT는 새로운 목표에 적응할 수 있는 중요한 사이버 위협으로 남아 있습니다. 이러한 사이버 위협에 대비하여 강력한 보안 조치 을 사용하는 것은 이제 위험을 낮추고 보호를 보장하는 데 도움이 될 수 있으므로 필수입니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스보안 문제.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기