일반적으로 맬버타이징으로 시작하여 Royal 랜섬웨어 배포로 끝나지만 새로운 위협 그룹은 중간에 악의적인 단계를 혁신하여 새로운 대상을 유인하는 능력으로 두각을 나타냅니다.
마이크로소프트 시큐리티 위협 인텔리전스가 DEV-0569로 추적한 이 사이버 공격 그룹은 발견, 탐지 회피, 침해 후 페이로드를 지속적으로 개선할 수 있는 능력으로 유명하다고 이번 주 컴퓨팅 대기업의 보고서에서 밝혔습니다.
"DEV-0569는 특히 다음에 의존합니다. 악의적 인, 스팸 이메일, 가짜 포럼 페이지 및 블로그 댓글에 포함된 소프트웨어 설치 프로그램 또는 업데이트로 위장한 맬웨어 다운로더를 가리키는 피싱 링크”라고 Microsoft 연구원이 말했습니다.
불과 몇 달 만에 Microsoft 팀은 조직의 연락처 양식에 악성 링크를 숨기는 것을 포함하여 그룹의 혁신을 관찰했습니다. 합법적인 다운로드 사이트 및 리포지토리에 가짜 설치 프로그램을 묻습니다. 캠페인에서 Google 광고를 사용하여 악의적인 활동을 위장합니다.
"DEV-0569 활동은 서명된 바이너리를 사용하고 암호화된 맬웨어 페이로드를 전달합니다."라고 Microsoft 팀은 덧붙였습니다. "또한 방어 회피 기술에 크게 의존하는 것으로 알려진 이 그룹은 최근 캠페인에서 안티바이러스 솔루션 비활성화를 시도하기 위해 오픈 소스 도구인 Nsudo를 계속 사용했습니다."
그룹의 성공 위치 장치-0569 마이크로소프트 시큐리티는 다른 랜섬웨어 작업을 위한 액세스 브로커 역할을 할 것이라고 말했습니다.
사이버 공격 독창성에 대처하는 방법
Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 새로운 속임수는 차치하고 위협 그룹이 실제로 캠페인 전술의 가장자리를 따라 조정하지만 실수를 저지르는 사용자에게 지속적으로 의존한다고 지적합니다. 따라서 방어를 위해서는 사용자 교육이 핵심이라고 그는 말합니다.
Parkin은 Dark Reading에 “여기에 보고된 피싱 및 악성 광고 공격은 전적으로 사용자가 미끼와 상호 작용하도록 하는 데 의존합니다. "즉, 사용자가 상호 작용하지 않으면 침해가 없다는 의미입니다."
그는 "보안 팀은 최신 익스플로잇과 맬웨어가 널리 배포되는 것보다 한발 앞서 나가야 하지만, 사용자 커뮤니티를 기본에서 벗어나게 하려면 사용자 교육과 인식이 필요하고 앞으로도 계속 필요할 것입니다. 견고한 방어선으로 표면을 공격하십시오.”
사용자가 미끼에 영향을 받지 않도록 만드는 것은 확실히 확실한 전략처럼 들리지만 Cerberus Sentinel의 솔루션 아키텍처 부사장인 Chris Clements는 Dark Reading에 사용자가 점점 더 설득력 있는 소셜 네트워크에 직면하여 100% 경계를 유지하기를 기대하는 것은 "비현실적이고 불공평하다"고 말합니다. 엔지니어링 계략. 대신 보안에 대한 보다 전체적인 접근 방식이 필요하다고 그는 설명합니다.
Clements는 "단일 사용자의 손상이 대량 데이터 절도 및 랜섬웨어라는 가장 일반적인 사이버 범죄 목표로 인해 광범위한 조직 손상으로 이어지지 않도록 하는 것은 조직의 기술 및 사이버 보안 팀의 몫입니다."라고 말했습니다.
IAM 제어 문제
RSA의 CISO인 Robert Hughes는 ID 및 액세스 관리(IAM) 제어부터 시작할 것을 권장합니다.
"강력한 ID 및 액세스 거버넌스는 승인된 개인이 링크를 클릭하지 못하도록 막고 허용된 소프트웨어를 설치하는 것과 같이 인간 및 엔드포인트 맬웨어 방지 수준에서 실패한 후에도 맬웨어의 측면 확산을 제어하고 그 영향을 제한하는 데 도움이 될 수 있습니다. 설치하십시오.”라고 Hughes는 Dark Reading에 말합니다. "데이터와 ID가 안전한지 확인하면 랜섬웨어 공격의 여파가 그만큼 피해를 주지 않을 것이며 엔드포인트를 이미지로 다시 만드는 데 많은 노력을 기울이지 않을 것입니다."
CardinalOps의 Phil Neray도 이에 동의합니다. 그는 악의적인 Google Ads와 같은 전술은 방어하기 어렵기 때문에 보안 팀은 랜섬웨어 공격이 발생하면 피해를 최소화하는 데 집중해야 한다고 설명합니다.
"즉, SoC가 권한 에스컬레이션 및 생계형 관리 도구 PowerShell 및 원격 관리 유틸리티와 같습니다.”라고 Neray는 말합니다.
