국가가 지원하는 사이버 그룹을 먼 위협으로 인식하는 엔터프라이즈 보안 경영자는 서둘러 그 가정을 재검토하고 싶어할 수 있습니다.
지난 XNUMX년 동안 전 세계에서 발생한 최근 몇 가지 지정학적 사건으로 인해 항만 당국, IT 회사, 정부 기관, 언론 기관, 암호화폐 회사 및 종교 단체와 같은 주요 대상에 대한 국가 활동이 급격히 증가했습니다.
마이크로소프트의 분석 글로벌 위협 환경 지난 XNUMX년 동안, 4월 XNUMX일 출시, 핵심 인프라를 대상으로 한 사이버 공격은 전체 국가 공격의 20%에서 회사 연구원이 탐지한 모든 공격의 40%로 두 배 증가했습니다.
더욱이 그들의 전술이 바뀌고 있습니다. 특히 Microsoft는 제로 데이 익스플로잇 사용이 증가했습니다.
여러 요인으로 인해 국가 위협 활동이 증가했습니다.
당연히 Microsoft는 급증의 대부분을 우크라이나 전쟁과 관련하여 러시아가 지원하는 위협 그룹의 공격 때문이라고 밝혔습니다. 일부 공격은 우크라이나 기반 시설을 손상시키는 데 중점을 두었고, 다른 공격은 더 스파이 활동과 관련되어 미국 및 기타 NATO 회원국의 표적을 포함했습니다. Microsoft가 지난 48년 동안 탐지한 러시아 지원 사이버 공격의 XNUMX%는 NATO 국가를 대상으로 했습니다. 이들 중 XNUMX%는 이들 국가의 IT 서비스 제공업체를 대상으로 했습니다.
우크라이나 전쟁이 러시아 위협 그룹의 활동 대부분을 주도했지만 다른 요인으로 인해 중국, 북한 및 이란이 후원하는 그룹의 공격이 증가했습니다. 예를 들어, 이란 그룹의 공격은 대통령이 바뀌면서 확대되었습니다.
마이크로소프트는 이란 그룹이 이스라엘에서 파괴적인 디스크 삭제 공격을 시작하는 것과 미국과 EU의 표적에 대한 해킹 및 유출 작전을 목격했다고 밝혔습니다. 이스라엘에서 발생한 한 공격은 국가에 비상 로켓 신호를 발령한 반면 다른 공격은 피해자의 시스템에서 데이터를 지우려고 했습니다.
북한 단체의 공격이 증가한 것은 북한에서 미사일 실험이 급증한 것과 맞물려 있다. 대부분의 공격은 항공우주 회사와 연구원의 기술을 훔치는 데 집중되었습니다.
한편, 중국의 그룹은 지역에서 더 많은 영향력을 행사하려는 중국의 노력을 지원하기 위해 스파이 활동과 데이터 도용 공격을 증가시켰다고 마이크로소프트는 말했다. 그들의 목표 중 상당수는 중국이 목표 달성에 전략적으로 중요하다고 생각하는 정보에 민감한 조직을 포함했습니다.
소프트웨어 공급망에서 IT 서비스 제공자 체인으로
국가 행위자는 해당 기간 동안 다른 부문보다 IT 회사를 더 많이 표적으로 삼았습니다. 클라우드 서비스 제공업체 및 관리 서비스 제공업체와 같은 IT 회사는 이러한 그룹이 올해 목표로 삼은 조직의 22%를 차지했습니다. 기타 집중적으로 표적이 된 부문에는 보다 전통적인 싱크 탱크 및 비정부 조직 피해자(17%), 교육(14%), 정부 기관(10%)이 포함되었습니다.
Microsoft는 IT 서비스 제공업체를 대상으로 하는 공격이 단일 신뢰할 수 있는 공급업체를 침해하여 수백 개의 조직을 한 번에 손상시키도록 설계되었다고 말했습니다. 작년에 Kaseya에 대한 공격으로 인해 랜섬웨어는 결국 유포 수천 명의 다운스트림 고객에게 제공한 초기 사례였습니다.
올해 XNUMX월에 이란의 지원을 받는 행위자가 이스라엘 클라우드 서비스 제공업체를 손상시켜 해당 회사의 다운스트림 고객에게 침투하려고 시도한 것을 포함하여 올해에도 여러 건이 있었습니다. 또 다른 예로 Polonium이라는 레바논에 기반을 둔 그룹은 클라우드 서비스 제공업체를 통해 여러 이스라엘 국방 및 법률 조직에 액세스할 수 있었습니다.
Microsoft는 IT 서비스 공급망에 대한 공격이 증가하면서 국가 그룹이 소프트웨어 공급망에 대해 가지고 있던 일반적인 초점에서 벗어나고 있다고 지적했습니다.
이러한 위협에 대한 노출을 완화하기 위한 Microsoft의 권장 조치에는 업스트림 및 다운스트림 서비스 공급자 관계 검토 및 감사, 권한 있는 액세스 관리 책임 위임, 필요에 따라 최소 권한 액세스 시행이 포함됩니다. 회사는 또한 익숙하지 않거나 감사되지 않은 파트너 관계에 대한 액세스를 검토하고, 로깅을 활성화하고, VPN 및 원격 액세스 인프라에 대한 모든 인증 활동을 검토하고, 모든 계정에 대해 MFA를 활성화할 것을 권장합니다.
제로데이의 상승
Microsoft가 관찰한 한 가지 주목할만한 추세는 국가 그룹이 조직이 정교한 위협으로부터 보호하기 위해 구현한 보안 보호를 회피하기 위해 상당한 리소스를 소비하고 있다는 것입니다.
마이크로소프트는 “기업 조직과 마찬가지로 공격자들은 자동화, 클라우드 인프라, 원격 액세스 기술의 발전을 사용하여 더 광범위한 표적에 대한 공격을 확장하기 시작했다”고 말했다.
조정에는 패치되지 않은 취약점을 신속하게 악용하는 새로운 방법, 기업 침입을 위한 확장된 기술, 악의적인 활동을 난독화하기 위한 합법적 도구 및 오픈 소스 소프트웨어의 사용 증가 등이 포함되었습니다.
이러한 추세의 가장 문제가 되는 징후 중 하나는 공격 체인에서 제로 데이 취약점 익스플로잇을 사용하는 국가 행위자가 증가하고 있다는 것입니다. Microsoft의 연구에 따르면 올해 41월과 2021월 사이에 2022년 XNUMX월과 XNUMX년 XNUMX월 사이에 XNUMX개의 제로데이 취약점에 대한 패치가 릴리스되었습니다.
Microsoft에 따르면 중국이 지원하는 위협 행위자는 최근 제로 데이 익스플로잇을 찾고 발견하는 데 특히 능숙했습니다. 회사는 이러한 추세를 2021년 XNUMX월에 발효된 새로운 중국 규정에 따른 것이라고 설명했습니다. 그것은 국가의 조직이 다른 사람에게 정보를 공개하기 전에 검토를 위해 발견한 취약점을 중국 정부 기관에 보고하도록 요구합니다.
이 범주에 속하는 제로 데이 위협의 예는 다음과 같습니다. CVE-2021-35211, 2021년 XNUMX월 패치되기 전에 널리 악용된 SolarWinds Serv-U 소프트웨어의 원격 코드 실행 결함. CVE-2021-40539, a 중요한 인증 우회 취약점 Zoho ManageEngine ADSelfService Plus에서 지난 XNUMX월 패치됨. 그리고 CVE-2022-26134, 취약점 Atlassian Confluence 작업 공간 XNUMX월에 패치가 제공되기 전에 중국의 위협 행위자가 적극적으로 악용했다는 것입니다.
마이크로소프트는 "이 새로운 규정은 중국 정부가 보고된 취약점을 무기화하기 위해 보고된 취약점을 비축하게 할 수 있다"고 경고하면서, 이는 제로데이 익스플로잇을 국가 우선순위로 사용하는 주요 단계로 간주되어야 한다고 덧붙였습니다.
.
