수석 과학자로부터의 편지

최신 위협 보고서에 오신 것을 환영합니다.

Trellix와 함께 여정을 떠났을 때 두 가지 주요 백엔드를 병합하면 세계에서 일어나고 있는 일에 대한 방대한 사이버 위협의 관점을 얻을 수 있다는 사실을 깨달았습니다. 이번 에디션에는 독자에게 이메일 관점에서 관찰되는 위협의 종류에 대한 다양한 통찰력을 제공하는 새로운 범주가 포함되어 있습니다.

RSA에서 많은 분들을 뵙게 되어 반가웠습니다. RSA에서는 우크라이나에서 관찰된 공격의 개요부터 의료기기와 건물 액세스 제어 기술에서 발견한 취약성에 이르기까지 다양한 연구를 공개하고 발표하였습니다. 본 보고서에서는 2022년 1분기의 데이터와 연구 결과뿐만 아니라 이러한 연구와 널리 퍼진 위협, 만연하게 관찰되는 공격을 강조합니다.

Black Hat, DEFCON, RSA, 기타 콘퍼런스에서 주신 위협 보고서에 대한 친절한 말씀과 피드백에 감사드립니다. 콘퍼런스 외 현장에서도 언제든지 환영하며, 제안하실 사항이나 저희가 놓친 정보가 있다면 언제든지 소셜로 연락하십시오.

최신 위협 내용, 비디오, 연구를 포함하는 Trellix Threat Labs 블로그 페이지도 확인해 보시기 바랍니다. 

—John Fokker
Lead Scientist

John Fokker Twitter

러시아 사이버 범죄의 진화

공개적으로 사이버 공격을 귀책(attribution)한 내역을 보면 러시아 사이버 범죄자 집단은 꾸준히 활동을 이어왔음을 알 수 있습니다. 러시아 사이버 집단의 전술, 기술, 절차(TTP)는 시간이 지나도 크게 발전하지는 않았으나 일부 변화가 관찰되었습니다. 최근 여러 도메인이 부분적으로 병합되면서 위협 지형이 바뀌었습니다. 이러한 경향은 이미 진행 중이었지만 디지털 활동 증가가 더 가속되면서 또렷하게 드러났습니다.

우크라이나에는 역사적으로 상당한 Trellix 고객층이 있었습니다. 우크라이나를 겨냥한 사이버 공격이 심해지자 Trellix는 정부 및 업계 파트너와 긴밀히 협력하였으며 진화하고 있는 위협 지형을 훌륭하게 보여줄 수 있었습니다. We have been eager to support the region against malicious cyber activity and have been able to go beyond sharing knowledge to also provide a wide range of security appliances at no cost in the affected region (our special thanks go out to our partners at Mandiant in getting some of the appliances deployed at those organizations who needed protection the most).

고객과 우크라이나 국민을 지원하기 위해 Trellix Threat Labs는 여러 정부 기관과 협력하여 필요한 원격 측정 통찰력, 인텔리전스 브리핑, 관련 러시아인이 사용하는 맬웨어 도구 분석을 제공했습니다. 고객 보호가 최우선 과제이므로 Trellix의 노력 중 상당 부분은 신중하게 진행되었습니다.

RSA와 협력하여 Trellix Threat Labs 팀은 시간 경과에 따른 러시아 사이버 범죄자의 진화, 사이버 전쟁의 영향, 관찰된 조직과 활동에 대한 연구(Growling Bears Make Thunderous Noise)를 발표했습니다.

이 보고서에는 러시아 침공 이후 사이버 전쟁의 영향뿐만 아니라 분쟁과 관련된 많은 사이버 그룹과 캠페인에 대한 상세한 연구가 포함되어 있습니다.

• 우크라이나 국방부에 대한 피싱
• Gamaredon
• Wipers
• 타겟팅된 익스체인지 서버
• UAC-0056
• Apt28
• Double Drop

러시아 사이버 범죄의 진화에 관한 자세한 내용은 보고서 전문을 참조하십시오.

방법론

Trellix의 백엔드 시스템은 분기별 위협 보고서에 대한 입력으로 사용하는 원격 측정 기능을 제공합니다. Trellix는 위협에 대한 오픈 소스 인텔리전스 및 랜섬웨어, 국가 활동 등과 같은 널리 퍼진 위협에 대한 자체 조사와 원격 측정을 결합합니다.

원격 측정에 대해 이야기할 때 Trellix는 감염이 아닌 탐지에 대해 이야기합니다. 탐지는 파일, URL, IP 주소 또는 기타 표시기가 당사 제품 중 하나에서 탐지되어 당사에 다시 보고될 때 기록됩니다.

고객의 개인 정보는 매우 중요합니다. 원격 측정 및 이를 고객의 섹터 및 국가에 매핑하는 경우에도 중요합니다. 국가별로 클라이언트 기반이 다르며 숫자가 증가를 나타낼 수 있지만 이를 설명하려면 데이터를 더 자세히 살펴보아야 합니다. 예를 들어 통신 섹터는 데이터에서 높은 점수를 받는 경우가 많습니다. 이는 이 섹터가 반드시 고도로 타겟팅되어 있다는 의미는 아닙니다. 통신 섹터에는 회사가 구매할 수 있는 자체 IP 주소 공간과 ISP 공급자가 포함됩니다. 이는 무엇을 의미합니까? ISP의 IP 주소 공간에서 제출된 항목은 통신 탐지로 표시되지만 다른 섹터에서 작동하는 ISP 클라이언트에서 전송된 것일 수 있습니다.

미국의 랜섬웨어: 2022년 1분기

2022년 초, 러시아에서 러시아 FSB가 REvil 랜섬웨어 범죄 조직의 여러 조직원을 체포했다는 매우 기쁜 소식이 있었습니다. Trellix의 분석에 따르면, 체포된 조직원은 범죄 조직 내에서 작은 역할을 담당했습니다. 그럼에도 Trellix는 미국과의 협조를 통해 이루어진 이번 결과가 러시아에서 더 많은 사이버 범죄 조직의 체포로 이어질 것이라고 기대했습니다.

With the Russian invasion of Ukraine at the end of February 2022, we now know that this was wishful thinking. 전쟁은 사이버 범죄자들이 분열하는 계기가 되었습니다. 역사적으로 정치는 제쳐 두고 금전적 이득을 위해 러시아 및 우크라이나 랜섬웨어 범죄자들이 협력하는 상황을 목격할 수 있었습니다.

Conti 랜섬웨어가 러시아 정부의 행동을 공개적으로 지지했을 때 편 가르기가 시작되었음이 분명해졌습니다.

사람들은 이 공개 성명을 알아차리게 되었고 며칠 지나지 않아 @contileaks라는 트위터 사용자 아이디를 사용하는 익명의 연구원이 Conti의 내부 커뮤니케이션을 온라인에 게시하기 시작했습니다. 채팅은 수년간 이어졌으며 수천 개의 메시지에 달해, ‘랜섬웨어의 파나마 페이퍼스’라는 별명이 붙기도 했습니다.

Trellix는 유출된 채팅을 심층적으로 조사했으며, 이에 관해 상당히 유용한 정보가 담긴 블로그를 게시했습니다. 채팅에서 주목할 부분은 러시아 정부를 지지하는 공개 성명 및 Conti 지도부와 러시아 정보기관이 긴밀한 관계를 맺고 있을 가능성을 암시하는 내용입니다. 이러한 관계는 다음 보고서의 연구 결과를 뒷받침합니다. ‘In the Crosshairs: Organizations and Nation-State Cyber Threats’ 이 보고서는 올해 초 CSIS와 공동으로 발행하였습니다. 보고서에서 발견한 주요 결과 중 하나는 국가와 비국가 행위자 간의 경계가 계속 모호해지고 있다는 것입니다.

Initially we expected this communication breach to have a severe impact on the ransomware gang’s operation. 그러나 코스타리카가 국가 비상사태를 선포할 정도로 거센 공격을 이어가는 듯 보였습니다. 2022년 2분기 말에 Conti 관련 인프라가 해체되는 것을 확인했습니다. 그러나 엄밀히 말하면 축하할 이유는 아닙니다. 이 범죄 그룹의 고위 조직원들은 체포되지 않았다는 사실과 그들의 러시아 정보기관과의 관계를 감안할 때 러시아 정부가 선택한 타겟을 공격할 수도 있습니다. 그러나 금전적 이득 후에는 범죄 그룹에 그럴듯하게 관련 사실을 부인해줄 수 있는 하이브리드 그룹의 형성을 목격하고 있다는 점도 고려해야 합니다. 랜섬웨어는 본질적으로 파괴적이며 다른 한편으로는 데이터 유출 작업을 방해하는 이중 목적을 가질 수 있습니다.

Therefore, we highly urge every organization to take close note of ransomware TTPs especially if you have already determined RU state-sponsored groups to be our most likely threat.

혁신 측면에서 Conti Group은 Linux 변형을 통해 ESXi 하이퍼바이저를 타겟팅하고 있으며 가상화 서비스가 조직에서 중요한 역할을 한다는 점을 깨닫고 있는 것처럼 보입니다. 이러한 경향은 꽤 오랫동안 지속되었습니다. 하지만 잘못된 보관함 또는 암호 해독기로 인해 VM이 손상되는 다른 결과도 함께 지속되었습니다.

모두 나쁜 소식인가요? 꼭 그렇다고 할 수는 없습니다. The Q1 2022 statistics from ransomware incident-response company Coveware do show a strong decline in the amount of cases in which victims were forced to pay the ransom amount to the attackers. 이는 좋은 소식입니다. 대가를 지불하지 않는 것이 범죄집단 비즈니스 모델을 방해하는 가장 효과적인 방법이기 때문입니다.

Trellix 연구진이 발견한 건물 액세스 제어 시스템의 치명적 결함

중요 인프라 시설은 전 세계적으로 범죄집단이 사이버 전쟁에서 가장 많은 표적으로 삼는 시설 중 하나로 꼽힙니다. 해당 업계는 레거시 시스템으로 인해 어려움을 겪고 있으며 사소한 하드웨어 및 소프트웨어 결함, 구성 이슈, 유난히 느린 업데이트 주기 등의 문제로 가득 차 있습니다. 그러나 이 외관 뒤에는 연료 파이프라인에서부터 수처리, 에너지 그리드, 빌딩 자동화, 방어 시스템에 이르기까지 우리가 의존하는 가장 필수적인 시스템이 많이 있습니다. 

산업 제어 시스템에서 자주 간과되는 영역 중 하나는 빌딩 자동화 프레임워크의 일부인 액세스 제어입니다. 액세스 제어 시스템은 보안 위치에 대한 카드 판독기 및 출입 지점의 자동화와 원격 관리를 제공하는 실제 솔루션입니다.

IBM의 2021년 연구 결과에 따르면, 물리적 보안 침해의 평균 비용은 354만 달러이며 침해를 파악하기까지 평균 223일이 소요됩니다. 시설의 보안과 안전을 보장하기 위해 액세스 제어 시스템에 의존하는 조직에는 큰 위험이 될 수 있습니다.

Trellix Labs는 최근 이런 시스템 중 하나인 HID Mercury의 유비쿼터스 액세스 제어 패널에 대한 획기적인 연구 결과를 발표했습니다. 수많은 OEM 공급업체는 액세스 제어 솔루션을 구현하기 위해 Mercury 보드와 펌웨어를 사용합니다. 당사 팀은 2022년 6월 9일 산타클라라의 Hardwear.io에서 연구 결과를 공유했으며 이번 여름에도 Black Hat에서 선보일 예정입니다. 팀의 연구 결과는 CVE로 공개된 적이 없는 네 가지 제로 데이 취약성과 이전에 패치된 네 가지 취약성을 강조했으며  상위 두 가지 취약성의 경우, 완전히 인증되지 않은 상태로 원격 코드 실행 및 임의 재부팅이 발생하게 됩니다. 이는 빌딩 네트워크에 있는 공격자가 원격으로 문을 잠그거나 잠금 해제할 수 있으며 관리 소프트웨어를 통한 탐지를 회피할 수 있음을 의미합니다. 연구진은 이번 연구 결과를 강조하는 블로그를 준비했으며 Black Hat과 동시에 여러 부분으로 구성된 기술 심층 분석을 공개할 예정입니다. 이뿐만 아니라 팀 연구실의 액세스 제어 시스템을 복제한 다음 두 가지 취약성을 사용하여 손상시키는 공격 데모 비디오를 촬영했습니다.

데모 비디오 시청하기

보안 업데이트

Carrier는 자사 제품 보안 페이지에 결함에 대한 구체적인 내용, 권장되는 완화 방법, 펌웨어 업데이트가 포함된 새로운 권고 사항을 발표했습니다. 가능하면 공급업체 패치를 가장 먼저 적용해야 합니다. 

실행 필요사항: 커넥티드 보건의료 사이버 보안

의료 산업은 마취 기계, IV 펌프, 현장 의료 진단 시스템, MRI 기계 등 기타 수많은 기기와 함께 사용되는 수많은 특수 제작 장치로 인해 특유의 공격 위험에 처해 있습니다. 이러한 장치들의 대부분은 다른 산업이나 일반 가정에서는 찾아볼 수 없습니다. 보편적이지 못하면 잘못된 보안 의식을 갖게 되고 보안 연구 업계의 정밀 조사에 누락됩니다.

Medical devices and software are falling short in fundamental security practices such as handling credentials and are ripe with RCE vulnerabilities. 이런 점들이 사이버 범죄자들을 유혹하고 있으며 우리는 추가 공격을 예방하기 위해 항상 보호해야 합니다. 왜냐하면 영원히 공격에서 벗어날 수는 없기 때문입니다. All stakeholders must acknowledge that the large selection of authentication vulnerabilities indicates the medical space needs more research, both internally and externally, to harden these devices. It’s not simply management systems and other web-based applications we need to focus on, but any network connected medical device needs to be accessed. Currently it doesn’t appear that these devices are being targeted by malicious actors but this doesn’t mean we can relax. 선택할 수 있는 RCE 취약성과 재사용을 위한 공개 익스플로잇 코드가 많이 있습니다. 공격자는 이전 방법을 사용하여 병원과 진료소를 공격하고 있지만 해당 방법이 고갈되면 더 쉬운 액세스 방법을 찾을 것입니다. Society as whole cannot allow medical devices and software to continue to be a weak point for attackers to exploit and therefore should encourage both internal and external security testing across developers and researchers alike.

최신 연구에 대한 세부 정보는 Connected Healthcare: A Cybersecurity Battlefield We Must Win 블로그에서 확인할 수 있습니다. CVE 데이터베이스와 같은 공개 데이터를 사용하여 의료 공간에서 공격 표면의 현재 상태를 분석하고 발견된 취약성의 능동적 위협과 분포를 평가했습니다. We believe that more partnerships between medical device vendors, medical care facilities and security researchers in junction with increased security testing is warranted to prevent a growing attack surface from becoming even more attractive to malicious actors.

LotL(리빙 오프 더 랜드) 공격

Trellix는 위협 행위자, 전술 기술 절차(TTP)뿐만 아니라 사용 중인 맬웨어를 추적합니다. 또한 공격 시 여러 단계에서 악용될 수 있으며 자주 악용되는 악성이 아닌 필수 기본 바이너리에 대해 분기별로 확인하고 보고했습니다. 사용자 지정 맬웨어와 상용 맬웨어는 물론 방어할 LotL TTP를 알아야 하며, 적을 파악하고 목적을 확인하는 것도 필요합니다. LoLBins에 대해 좀 더 자세히 알아보면 누가  이러한 도구를 사용하고 있는지, 그 이유가 무엇인지에 대한 의문이 남습니다. 당면한 목적을 달성할 수 있는 사용자 지정 맬웨어를 작성할 능력이 없습니까? 아니면 단순히 편리한 도구이자 감추려는 시도입니까? 모든 위협 행위자들은 다른 모든 사람들처럼 고용된 경우가 많으며 이후에 상관과 회의하고 매일, 분기, 연간 목표를 지정하고 열심히 일해서 월급을 받습니다. 

‘살아 있는 보안 환경 만들기’라는 사명을 달성하려면 취약성을 악용하고 지적 데이터와 조직 데이터를 도용하여 이익을 얻으려는 사람들로부터 중요한 정보, 인프라, 자산을 보호하기 위해 매일 싸우는 우리 자신, 고객, 동료들을 무장시켜야 합니다. 

2022년 1분기에 악용된 바이너리는 무엇이고 악용한 사람은 누구입니까? 

이메일 보안 경향: 2022년 1분기

2022년 1분기 이메일 원격 측정 분석 결과 이메일 보안의 피싱 URL과 악성 문서 동향이 밝혀졌습니다.

탐지된 대부분의 악성 이메일에는 자격 증명을 도용하거나 피해자가 맬웨어를 다운로드하도록 유인하는 피싱 URL이 포함되어 있습니다. 다음으로 인기 있는 이메일은 Microsoft Office 파일 또는 PDF와 같은 악성 문서가 첨부된 이메일로 확인되었습니다. 이러한 문서에는 공격자가 피해자 시스템을 제어하도록 하는 다운로더 또는 익스플로잇이 작동하는 매크로가 포함되어 있습니다. 마지막으로 infostealer 또는 트로이 목마와 같은 악성 실행 파일이 첨부된 여러 이메일이 있습니다.

익스플로잇

사용된 익스플로잇에 집중해보면 대부분이 악성 RTF 파일, 무기화된 OLE 개체가 포함된 MS Office 문서, Adobe Reader 익스플로잇 또는 악성 JS 스크립트에 감염된 PDF로 포장되어 있었습니다. 다음 그림에서 확인할 수 있는 상위 세 가지 파일 형식은 Windows RTF 파일 형식과 그다음 최신 Office 파일 형식, 마지막으로 레거시 OLE Office 파일 형식입니다.