기술 지원
문서
로그인
문의하기
TuxCare 블로그
최근 최근 보고서에 따르면 러시아에 연계된 지능형 지속 위협(APT) 그룹이 이전에는 문서화되지 않았던 공격 캠페인에서 관찰되었습니다. 러시아 APT인 Turla는 파키스탄에 기반을 둔 해킹 그룹인 Strom-0156의 명령 및 제어(C2) 서버에 침투하는 것을 중심으로 공격 캠페인을 시작했습니다.
이 도움말에서는 위협 행위자의 공격 전술, 도구 및 기술 등을 살펴봅니다. 시작하겠습니다!
러시아 APT 공격 개요
오랫동안 악의적인 활동을 해온 러시아 APT 의 오랜 악성 활동은 처음에 루멘의 블랙 로터스 랩에서 확인되었습니다. 이 APT의 이름이 "비밀 블리자드" 또는 "Turla." 이 사이버 보안 연구 기관은 국가 지원을 받는 다양한 위협 행위자들이 C2 서버를 악용하는 것을 모니터링했습니다. C2 서버 다른 해킹 그룹의 C2 서버를 악용하는 다양한 국가 지원 위협 행위자들을 모니터링했습니다.
이러한 전략을 사용하면 APT 그룹은 손상된 네트워크에서 유출하거나 자체 툴을 노출하거나 어트리뷰션을 지연시키지 않고도 민감한 파일을 획득할 수 있습니다. 이러한 공격 시나리오에 대해 전문가들은 다음과 같이 설명합니다. 언급했습니다. 그:
"다른 위협 행위자가 표적에 대한 관심 데이터를 모두 확보하지 못한 시나리오에서는 C2 노드에서 수집한 데이터에서 훔친 인증 자료를 검색하여 액세스 권한을 얻거나 기존 액세스 권한을 사용하여 수집을 확장하고 에이전트를 네트워크에 배포할 수 있습니다. 이렇게 함으로써 시크릿 블리자드는 원래의 위협 행위자가 만든 발판을 근본적으로 활용합니다."
러시아 APT가 사용하는 데이터 수집 기법은 러시아 APT 가 사용하는 데이터 수집 기술은 고유한 이점을 제공하지만, 위협 행위자는 데이터를 수집하거나 C2 노드가 제어하는 네트워크에만 액세스하는 것으로 제한됩니다. 사이버 위협 연구 기관에 따르면
"시크릿 블리자드는 공격자의 C2 노드에서 운영자의 워크스테이션으로 이동하여 신뢰 관계를 지속적으로 악용했습니다. 국가 및 사이버 범죄 엔드포인트와 멀웨어는 액세스를 모니터링하고 악용으로부터 보호하기 위해 최신 보안 스택을 사용할 수 없기 때문에 특히 악용에 취약하다고 생각합니다."
위협 행위자가 보안 프로토콜을 설치하면 익스플로잇과 도구가 노출된다는 점을 지적하고 있습니다. 현재 APT와 같은 해커는 로그 데이터를 적극적으로 삭제하여 노출을 확대하려는 시도를 하고 있는 것으로 추정됩니다.
Storm-0156 서버와 비밀 블리자드 공격 전술
공격의 세부 사항에 관해서는 다음과 같이 추정됩니다. 러시아 APT 가 Storm-0156에 대한 신뢰를 조작한 것으로 추정됩니다. 이를 통해 파키스탄 컴퓨터 네트워크 운영자의 워크스테이션으로 이동하여 해당 노드에서 데이터를 훔칠 수 있었습니다. 또한 이 전술은 와이스콧과 크림슨랫에도 사용되었습니다.
러시아 러시아 APT 는 나중에 이 멀웨어를 사용하여 인도 기반 네트워크와 상호 작용했습니다. 이 위협 행위자는 주목할 가치가 있습니다. 이 위협 행위자는 AllaKore 및 맞춤형 원격 액세스 트로이 목마. Storm-0156의 경우, 위협 행위자는 다양한 운영 체제에 맞게 도구를 조정했습니다.
그러나 전술, 기법 및 절차(TTP)에는 변화가 관찰되지 않았습니다. 여기서 주목할 점은 Storm-0156이 주로 지역 정부 조직을 표적으로 삼고 있으며 인도와 아프가니스탄에 중점을 두고 있다는 점입니다. 이 그룹이 표적으로 삼은 주요 기관 중 일부는 다음과 같은 다양한 분야에서 비롯되었습니다:
- 정부.
- 기술.
- 산업 제어 시스템.
- 발전 및 배전.
에 대한 인사이트 제공 러시아 APT 가 파키스탄 Storm-0156의 C2 서버에 액세스하는 데 성공했다고 전문가들은 밝혔습니다:
"Storm-0156 캠페인을 모니터링하는 동안 2022년 12월부터 2023년 중반까지 활동한 11개의 C2 노드를 발견했습니다. 블랙 로터스 랩은 11개 노드 중 8개 노드에서 멀웨어 샘플 또는 공개 보고를 관찰했습니다. 면밀한 분석 결과 이 11개 노드는 모두 새로 확인된 3개의 VPS IP 주소와 통신한 것으로 나타났습니다."
VPS의 가장 놀라운 측면 중 하나는 이전에는 Storm-0156 캠페인에서 볼 수 없었던 공급업체를 통해 레이저 공격을 받았다는 사실입니다. MSTIC은 또한 이 세 개의 노드가 실제로는 러시아 APT 그룹인 시크릿 블리자드와 연관되어 있음을 확인했습니다. 2022년 12월부터 2023년 8월까지 이 노드들은 러시아 APT 는 다음과 같은 IP 주소를 사용했습니다:
- 146.70.158[.]90
- 162.213.195[.]129
- 146.70.81[.]81
에 대한 코멘트 러시아 APT 그룹의 이 세 가지 노드 사용에 대해 전문가들은 다음과 같이 말했습니다:
"시크릿 블리자드가 공개 멀웨어 샘플이나 보고에 해당하지 않는 나머지 세 개의 노드를 어떻게 식별했는지는 확실하지 않지만, 팀 심루가 여기에 설명한 원격 데스크톱 프로토콜(RDP) 피벗 방법을 사용했을 것으로 추정합니다."
아래는 Strom-0156에 속하는 IP 주소 목록과 해당 주소가 러시아 APT:
| 날짜 | IP 주소 |
| 2022년 12월 11일 - 2024년 10월 7일 | 154.53.42[.]194 |
| 2022년 12월 12일 - 2023년 7월 9일 | 66.219.22[.]252 |
| 2022년 12월 27일 - 2023년 8월 9일 | 66.219.22[.]102 |
| 2022년 12월 28일 - 2023년 3월 2일 | 144.126.152[.]205 |
| 1월 31일 - 3월 14일, 2023 | 185.229.119[.]60 |
| 2023년 2월 22일 - 2023년 8월 21일 | 164.68.108[.]153 |
| 2023년 2월 27일 - 3월 22일 | 209.126.6[.]227 |
| 4월 30일 - 2023년 7월 4일 | 209.126.81[.]42 |
| 2023년 5월 5일 - 8월 22일 | 209.126.7[.]8 |
| 4월 12일 - 8월 23일, 2023 | 154.38.160[.]218 |
| 6월 23일 - 8월 21일, 2023 | 144.126.154[.]84 |
아프가니스탄 정부 네트워크에 배포된 악성 툴
IP 주소 외에도 전문가들은 다음과 같은 상호 작용을 모니터링하면서 러시아 APT 그룹과 Storm-0156 노드 간의 상호작용을 모니터링하는 동안 아프가니스탄 정부 네트워크의 활동도 확인되었습니다. 이러한 활동의 확산을 고려할 때, 전문가들은 다음과 같이 언급했습니다. 러시아 APT 그룹이 Two-Dash 멀웨어를 배포하기 위해 C2 서버에 대한 액세스를 사용했을 가능성이 높다고 전문가들은 지적했습니다.
공격 시퀀스와 관련된 통신은 아프가니스탄에 기반을 둔 여러 IP 주소에서 관찰되었습니다. 전송된 데이터의 기간과 양을 고려할 때 아프가니스탄 IP 주소는 일주일 동안만 비콘 활동을 보인 것으로 결론지을 수 있습니다. 이는 위협 행위자가 의도적으로 장기간 접속을 유지하지 않기로 선택했음을 의미합니다. 그러나 더 큰 관심을 끄는 것으로 보이는 세 개의 주소가 포함되었습니다:
- 146.70.158[.]90 - 6개의 IP 주소와 상호 작용하는 것으로 관찰되었으며 2023년 1월 23일부터 2023년 9월 4일까지 활동한 것으로 확인되었습니다.
- 162.213.195[.]129 - 5개의 IP 주소와 통신하는 데 사용되었으며 2022년 12월 29일부터 2023년 9월 4일까지 활동했습니다.
- 167.88.183[.]238 - 주로 2023년 4월 17일에 발생한 하나의 IP 주소로만 전송하는 데 사용됩니다.
또한 2024년 5월부터 10월까지 아프가니스탄 정부 네트워크의 지속적인 연결은 동일하게 유지된 것으로 확인되었습니다. 그러나 주목할 만한 차이점은 C2가 Storm-0156 감염과 일치하던 것에서 143.198.73[.]108로 바뀌었다는 점입니다.
확인된 가장 중요한 활동은 Two-Dash 멀웨어의 사용이었다는 점에 주목할 필요가 있습니다. 이는 아프가니스탄에 위치한 Storm-0156 C2 노드뿐만 아니라 파키스탄에서 시작된 동적 IP 주소에서도 분명하게 드러났습니다. 전문가들은 C2 패널의 사용과 관련된 인사이트를 제공하면서 다음과 같이 말했습니다:
"우리는 그들이 Storm-0156 C2 패널에 액세스한 다음 신뢰 관계를 악용하여 Storm-0156 운영자의 워크스테이션으로 측면 이동한 것으로 의심하고 있습니다. 이를 통해 이전에 Storm-0156에 의해 손상된 다른 중동 정부 기관을 포함한 추가 네트워크에 액세스할 수 있었을 것입니다."
현재로서는 표적 피해자를 손상시키기 위해 시작된 다운스트림 움직임의 사용 또는 Storm-0156이 설정한 기존 에이전트의 사용 여부는 아직 명확하지 않습니다.
결론
러시아의 공격 캠페인 러시아 APT 그룹인 시크릿 블리자드의 공격 캠페인은 최신 사이버 스파이 전술의 정교함을 잘 보여줍니다. 이 그룹은 신뢰를 악용하고 Storm-0156의 C2 서버에 대한 액세스를 활용함으로써 민감한 네트워크에 침투하는 전략적 접근 방식을 보여주었습니다. 투 대시 멀웨어와 표적화된 측면 이동과 같은 도구를 사용한 이들의 작전은 다음과 같은 강화된 사이버 보안 조치 국가가 지원하는 위협과 그룹 간 신뢰 악용으로 인한 취약성으로부터 보호하기 위한 강화된 사이버 보안 조치의 필요성을 강조합니다.
