한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
2023년 8월 기업에 영향을 미치는 사이버 보안 위협
사이버보안 위협은 빠르게 증가하고 있다. 결과적으로, 회사 리더는 전반적인 사이버 보안 전략에서 잠재적인 결함을 더 잘 인식해야 합니다. Marcum Technology의 SOC 서비스의 일부로 제공되는 위협 검색 쿼리는 조직 환경에서 잠재적인 위협을 식별하는 데 핵심입니다.
다음은 지난 한 달 동안 나타난 상위 4가지 위협입니다.
랜섬웨어 공격은 범위와 심각도 측면에서 전 세계 조직의 문제가 커지고 있습니다. Microsoft 사고 대응 팀은 최근 BlackByte 2.0 랜섬웨어 공격을 조사하여 이러한 사이버 공격의 놀라운 속도와 파괴적인 성격을 밝혀냈습니다. 연구 결과에 따르면 해커는 초기 액세스 권한 획득부터 심각한 피해 발생까지 전체 공격 프로세스를 단 5일 만에 실행할 수 있습니다. 그들은 신속하게 시스템에 침투하여 중요한 데이터를 암호화하고 공개에 대한 대가를 요구합니다. 이렇게 압축된 타임라인은 이러한 악의적인 작업을 방어하기 위해 노력하는 조직에 중요한 과제를 제시합니다.
BlackByte 랜섬웨어는 공격의 마지막 단계에서 8자리 숫자 키를 사용하여 데이터를 암호화합니다. 공격자는 도구와 기술의 강력한 조합을 사용하여 패치가 적용되지 않은 Microsoft Exchange Server를 활용하여 액세스 권한을 얻고 악의적인 활동을 위한 기반을 마련합니다. 프로세스 비우기, 바이러스 백신 회피 전략, 원격 액세스를 위한 웹 셸, 명령 및 제어 작업을 위한 Cobalt Strike 비콘은 기능을 더욱 강화하여 조직이 이를 방어하기 어렵게 만듭니다. 또한 사이버 범죄자는 자신의 활동을 위장하고 탐지를 피하기 위해 "토지 생활" 도구를 사용합니다. 이들은 감염된 시스템의 볼륨 섀도 복사본을 수정하여 시스템 복원 지점을 통한 데이터 복구를 방지하고 초기 손상 후에도 지속적인 액세스를 위해 사용자 지정 백도어를 배포합니다.
랜섬웨어 공격이 더욱 빈번해지고 정교해짐에 따라 조직이 적절하게 준비되지 않으면 위협 행위자가 비즈니스 운영을 빠르게 방해할 수 있습니다. 이러한 공격의 심각성으로 인해 전 세계 조직의 즉각적인 조치가 필요하며 이러한 조사 결과에 대응하여 Microsoft는 실용적인 권장 사항을 제공합니다. 중요한 보안 업데이트를 조기에 적용하기 위해 강력한 패치 관리 절차를 구현하도록 권장합니다. 변조 방지 기능을 활성화하는 것도 중요합니다. 이를 비활성화하거나 우회하려는 악의적인 시도에 대비해 보안 솔루션을 강화하기 때문입니다. 최신 시스템 유지 및 관리 권한 제한과 같은 모범 사례를 따르면 조직은 BlackByte 랜섬웨어 공격 및 기타 유사한 위협의 위험을 크게 완화할 수 있습니다.
"Nitrogen"이라는 최근 캠페인에서는 DLL 사이드 로딩이 C2 통신에 활용되는 것으로 나타났습니다. 공격은 일반적인 피싱 벡터 대신 손상된 WordPress 웹사이트에서 드라이브 바이 다운로드를 통해 시작되었습니다. ISO 이미지 파일에는 최종 사용자가 수동으로 실행해야 하는 설치 파일이 포함되어 있습니다. 그런 다음 설치 프로그램은 msi.dll 파일 로드를 진행하고 함께 제공되는 데이터 파일의 암호를 해독합니다. 포함된 Python 배포판과 DLL은 사용자의 C:\Users\Public\Music\python 경로에 사이드로드되도록 삭제됩니다.
그런 다음 악성코드는 pythonw.exe를 실행하는 "OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003"라는 예약된 작업을 생성합니다. 이는 악성코드의 지속성을 부여합니다. 작업은 시스템 시작 시 트리거되도록 예약하고 2029년 12월 1일 자정에 만료됩니다.
지속성이 확립되면 악성코드는 임무를 수행할 수 있습니다. C2 서버와의 지속적인 연결을 유지하기 위해 DLL 사이드로딩을 사용하고 압축/인코딩된 데이터를 검색한 다음 로컬에서 실행하는 것으로 나타났습니다.
Cobalt Strike는 한때 선택된 페이로드로 관찰되었으며, 다른 페이로드도 구현될 수 있는 것으로 보입니다. 이 악성 코드는 확실히 큰 해를 끼칠 가능성이 있지만 이 캠페인에서는 손상된 웹 사이트에서 드라이브 바이 다운로드를 통해 다운로드한 파일을 사용자가 수동으로 실행해야 한다는 점에서 위안이 됩니다. 그러나 이는 용이성과 효율성으로 인해 가장 일반적인 벡터 중 하나로 남아 있는 피싱을 통해 항상 전달될 수 있습니다.