Billbug로 알려진 국가 지원 사이버 공격 그룹은 XNUMX월까지 거슬러 올라가는 광범위한 스파이 캠페인의 일환으로 디지털 인증 기관(CA)을 손상시키는 데 성공했습니다. 연구원들은 APT(Advanced Persistent Threat) 플레이북의 개발과 관련하여 경고했습니다.
디지털 인증서는 소프트웨어를 유효한 것으로 서명하고 장치 또는 사용자의 신원을 확인하여 암호화된 연결을 활성화하는 데 사용되는 파일입니다. 따라서 CA 손상은 은밀한 후속 공격으로 이어질 수 있습니다.
"인증 기관을 표적으로 삼는 것은 주목할 만합니다. 마치 공격자가 인증서에 액세스하기 위해 인증 기관을 성공적으로 손상시킬 수 있었던 것처럼 잠재적으로 이를 사용하여 유효한 인증서로 맬웨어에 서명하고 피해자 시스템에서 탐지를 피하는 데 도움이 될 수 있습니다." 보고서 이번 주 시만텍에서. "또한 잠재적으로 손상된 인증서를 사용하여 HTTPS 트래픽을 가로챌 수 있습니다."
연구원들은 "이것은 잠재적으로 매우 위험하다"고 지적했다.
계속되는 사이버 침해
Billbug(일명 Lotus Blossom 또는 Thrip)는 주로 동남아시아의 피해자를 표적으로 삼는 중국 기반 스파이 그룹입니다. 예를 들어 군사 조직, 정부 기관 및 통신 제공업체가 보유한 비밀을 쫓는 거물 사냥으로 알려져 있습니다. 때때로 그것은 더 어두운 동기를 암시하면서 더 넓은 그물을 던집니다. 과거에는 항공 우주 운영자에 침투하여 위성의 움직임을 모니터링하고 제어하는 컴퓨터를 감염시켰습니다.
가장 최근의 악의적인 활동에서 APT는 아시아 전역의 정부 및 국방 기관을 강타했으며, 한 사례에서는 맞춤형 악성 코드로 정부 네트워크의 "대다수의 시스템"을 감염시켰습니다.
Symantec Threat Hunter Team의 수석 인텔리전스 분석가인 Brigid O Gorman은 "이 캠페인은 최소 2022년 2022월부터 XNUMX년 XNUMX월까지 진행되었으며 이 활동이 계속될 가능성이 있습니다."라고 말했습니다. “Billbug는 수년에 걸쳐 여러 캠페인을 수행한 오래된 위협 그룹입니다. 시만텍은 현재 그러한 증거가 없지만 이 활동이 추가 조직이나 지역으로 확장될 수 있습니다.”
사이버 공격에 대한 친숙한 접근 방식
이러한 대상과 CA에서 초기 액세스 벡터는 취약한 공용 응용 프로그램을 악용하는 것이었습니다. 코드를 실행할 수 있는 능력을 얻은 후 공격자는 네트워크에 더 깊이 파고들기 전에 알려진 맞춤형 Hannotog 또는 Sagerunex 백도어를 설치합니다.
이후의 킬 체인 단계에서 Billbug 공격자는 여러 가지를 사용합니다. LoLBins(living-off-the-land 바이너리)시만텍 보고서에 따르면 AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail, WinRAR 등이 있습니다.
이러한 합법적인 도구는 추가 맬웨어 다운로드는 말할 것도 없고 Active Directory를 쿼리하여 네트워크 매핑, 유출을 위해 파일 압축, 엔드포인트 간 경로 발견, NetBIOS 및 포트 검색, 브라우저 루트 인증서 설치와 같은 다양한 도플갱어 용도로 남용될 수 있습니다. .
이중 용도 도구와 결합된 맞춤형 백도어는 과거에 APT에서 사용된 친숙한 발자국입니다. 그러나 대중의 노출에 대한 우려의 부족은 그룹 코스의 파.
Gorman은 "Billbug가 과거에 그룹과 연결되었던 도구를 재사용하면서 이러한 활동이 자신의 탓으로 돌릴 가능성에 대해 단념하지 않는 것처럼 보인다는 점은 주목할 만합니다."라고 말했습니다.
그녀는 덧붙입니다. 합법적인 도구가 잠재적으로 사용되고 있는지도 인식합니다. 의심스럽거나 악의적인 방식으로.”
시만텍은 해당 활동을 알리기 위해 문제의 익명 CA에 알렸지만 Gorman은 응답 또는 수정 노력에 대한 자세한 내용을 제공하지 않았습니다.
지금까지 이 그룹이 실제 디지털 인증서를 손상시킬 수 있었다는 징후는 없지만 "기업은 위협 행위자가 인증 기관에 액세스할 수 있는 경우 맬웨어가 유효한 인증서로 서명될 수 있음을 인식해야 합니다."라고 조언합니다.
일반적으로 조직은 잠재적인 공격 체인의 각 지점에서 위험을 완화하기 위해 여러 탐지, 보호 및 강화 기술을 사용하는 심층 방어 전략을 채택해야 한다고 그녀는 말합니다.
Gorman은 “Symantec은 관리 계정 사용에 대한 적절한 감사 및 제어를 구현하도록 조언할 것입니다.”라고 말했습니다. “또한 관리 도구에 대한 사용 프로필을 생성할 것을 제안합니다. 이러한 도구 중 상당수는 공격자가 네트워크를 통해 탐지되지 않고 측면으로 이동하는 데 사용되기 때문입니다. 전반적으로 다단계 인증(MFA)은 손상된 자격 증명의 유용성을 제한하는 데 도움이 될 수 있습니다.”
