러시아 정보국(SVR)과 연계된 위협 그룹이자 SolarWinds와 Microsoft, HPE 같은 조직에 대한 공격 배후 조직인 "Midnight Blizzard"는 자동화된 클라우드 서비스 계정과 휴면 계정을 활용하여 대상 조직의 클라우드 환경에 액세스하고 있습니다.
이번 공격은 위협 행위자(APT29, Cozy Bear 및 Dukes라고도 함)가 전통적으로 표적으로 삼았던 부문에 속한 조직의 점점 늘어나는 클라우드 서비스 채택에 적응함에 따라 전술에 상당한 변화가 있음을 의미합니다.
중요한 변화
월요일 권고에서 영국은 국가사이버보안센터(NCSC), 미국 사이버 보안 및 인프라 보안국(CISA) 그리고 다른 국가의 동료들은 Midnight Blizzard의 전술 변화와 위협 행위자가 클라우드 환경에 대한 초기 액세스 권한을 얻지 못하도록 조직이 방지해야 할 필요성에 대해 경고했습니다.
“클라우드 인프라로 전환한 조직의 경우 SVR과 같은 행위자에 대한 첫 번째 방어선은 초기 액세스를 위해 SVR의 TTP로부터 보호하는 것입니다.”라고 권고하면서 위협에 대한 완화 조치를 권장했습니다.
미국과 다른 국가들은 Midnight Blizzard를 최소한 2009년부터 활동해 온 위협 행위자인 러시아의 SVR과 높은 수준의 신뢰 관계를 맺었습니다. 처음에는 이 그룹이 정부 기관, 싱크탱크 및 조직을 대상으로 정보 수집 공격을 하여 주목을 받았습니다. 의료 및 에너지 부문. 최근 몇 년 동안, 특히 SolarWinds 공격 이후 Midnight Blizzard는 소프트웨어 공급망, 의료 연구, 법 집행, 항공 및 군사 산업 분야의 조직을 포함하여 수많은 다른 조직을 표적으로 삼았습니다. 최근에 Microsoft와 HPE는 위협 행위자를 비난했습니다. 각자의 기업 이메일 환경에 침입하여 고위 경영진과 핵심 인력의 이메일에 접근한 경우입니다.
이전 공격에서 Midnight Blizzard는 소프트웨어 취약점과 기타 네트워크 약점을 악용하여 대상 조직의 온프레미스 IT 인프라에 대한 초기 액세스 권한을 얻었습니다. 그러나 많은 표적이 클라우드 네이티브 및 클라우드 호스팅 환경으로 이동함에 따라 위협 행위자는 클라우드 서비스도 전환하고 표적으로 삼을 수밖에 없게 되었습니다. NCSC는 “피해자의 클라우드 호스팅 네트워크 대부분에 액세스하려면 먼저 클라우드 제공업체에 성공적으로 인증해야 합니다.”라고 말했습니다.
타겟팅 서비스 및 휴면 계정
Midnight Blizzard가 해당 목표를 달성하기 위해 채택한 일반적인 전술 중 하나는 무차별 추측 및 비밀번호 스프레이 공격을 사용하여 클라우드 서비스 계정에 액세스하는 것입니다. 이는 일반적으로 클라우드 애플리케이션 및 서비스를 관리하기 위한 자동화된 비인간 계정입니다. 이러한 계정은 이중 인증 메커니즘을 통해 쉽게 보호할 수 없으므로 성공적인 손상 및 탈취에 더 취약하다고 NCSC는 말했습니다.
그러나 위협 행위자가 이러한 계정을 탈취하는 것을 특히 문제로 만드는 또 다른 문제가 있습니다. NCSC는 "이러한 계정에 대한 액세스 권한을 얻으면 위협 행위자가 네트워크에 대한 초기 액세스 권한을 얻고 추가 작업을 시작할 수 있게 됩니다"라고 경고했습니다. 이러한 공격 중 상당수에서 위협 행위자는 합법적인 주거용 IP 주소를 사용하여 비밀번호 스프레이 공격을 시작했기 때문에 방어자가 해당 활동을 파악하기가 어렵습니다.
Midnight Blizzard가 대상 클라우드 환경에 대한 초기 액세스 권한을 얻기 위해 사용한 또 다른 전략은 피해자 조직에서 더 이상 일하지 않지만 해당 계정이 시스템에 남아 있을 수 있는 사용자의 휴면 계정을 활용하는 것입니다. 경우에 따라 위협 행위자는 비활성 계정에 로그인하고 지침에 따라 비밀번호를 재설정하여 네트워크가 부팅되었을 수 있는 네트워크에 다시 액세스할 수 있습니다.
인증 토큰 남용
Midnight Blizzard가 초기 클라우드 액세스에 사용한 다른 전술에는 다음이 포함됩니다. 불법적으로 획득한 OAuth 토큰 비밀번호를 요구하지 않고 피해자 계정에 접근하고 지속성을 유지하기 위해 MFA 폭격 또는 MFA 피로 피해자가 대상 계정에 인증하도록 유도하는 공격입니다. 위협 행위자가 클라우드 환경에 대한 액세스 권한을 얻은 후에는 지속적인 액세스 권한을 얻기 위해 자신의 장치를 여기에 등록하는 경우가 많습니다.
위협을 완화하기 위해 조직은 가능한 한 다단계 인증을 사용하여 비밀번호 손상의 영향을 줄여야 한다고 NCSC는 말했습니다. 두 번째 인증 요소를 사용하기 어려울 수 있는 상황에서 조직은 서비스 계정을 보호하기 위해 강력한 비밀번호를 만들어야 합니다. NCSC는 또한 조직이 다음을 구현하도록 권장했습니다. 최소 권한 원칙 서비스 계정은 공격자가 서비스 계정을 오용하여 잠재적으로 수행할 수 있는 작업을 제한합니다.
또한, 권고는 위협 행위자가 도난당한 토큰으로 수행할 수 있는 작업을 제한하기 위해 인증 토큰의 세션 수명을 "가능한 한 짧게" 유지하고 장치 등록 정책이 클라우드 환경에서 승인되지 않은 장치 등록을 허용하지 않도록 할 것을 옹호했습니다.
“유효한 서비스 계정으로 보이지만 합법적인 서비스에서는 절대 사용되지 않는 카나리아 서비스 계정을 생성해야 합니다.”라고 권고는 말했습니다. 이러한 계정을 오용하는 것은 즉각적인 조사가 필요한 무단 액세스의 분명한 신호입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :있다
- :이다
- :아니
- :어디
- 2009
- 7
- a
- ACCESS
- 액세스
- 계정
- 계정
- 달성
- 활동적인
- 활동
- 배우
- 적응하다
- 또한
- 구애
- 양자
- 자문
- 제휴사
- 반대
- 기관
- 정부 기관
- 또한
- an
- 및
- 인프라
- 다른
- 표시
- 어플리케이션
- 있군요
- AS
- At
- 공격
- 공격자
- 공격
- 주의
- 인증
- 인증
- 자동화
- 비행
- BE
- 곰
- 된
- 뒤에
- 귀속
- 파괴
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 센터
- 체인
- 선명한
- 클라우드
- 클라우드 인프라
- 클라우드 서비스
- 협동
- 공통의
- 타협
- 자신
- Corporate
- 수
- 대응
- 국가
- 만들
- 만든
- 사이버
- 사이버 보안
- 사이버 보안
- 수호자
- 방위산업
- 도
- 장치
- 디바이스
- 어려운
- do
- 용이하게
- 이메일
- 이메일
- 고용 된
- 에너지
- 시행
- 실재
- 환경
- 환경
- 특히
- 악용
- 인자
- 먼저,
- 수행원
- 럭셔리
- 강제
- 에
- 추가
- 이득
- 획득
- 획득
- 얻은
- 얻을
- 골
- Government
- 정부 기관
- 그룹
- 성장하는
- 하드
- 있다
- 건강 관리
- 높은
- 호스팅
- HTTPS
- 즉시
- 영향
- 구현
- in
- 기타의
- 비활성
- 포함
- 포함
- 산업
- 인프라
- 처음에는
- 처음에는
- 명령
- 인텔리전스
- 으로
- 조사
- IP
- IP 주소
- 발행물
- IT
- 그
- JPG
- 유지
- 키
- 알려진
- 시작
- 법
- 법 집행
- Leadership
- 가장 작은
- 합법적 인
- 이점
- 레버리지
- 처럼
- 제한
- 라인
- 로깅
- 이상
- 유지하다
- 과반수
- 제작
- 유튜브 영상을 만드는 것은
- 관리
- .
- 표
- XNUMX월..
- 메커니즘
- Microsoft
- 한밤중
- 수도
- 군
- 오용
- 완화
- 월요일
- 배우기
- 움직이는
- 다단계 인증
- 절대로 필요한 것
- NCSC
- 필요
- 요구
- 네트워크
- 못
- 아니
- 유명한
- 다수의
- 맹세
- 획득
- 기회
- of
- 자주
- on
- 일단
- ONE
- 행정부
- or
- 조직
- 조직
- 기타
- 기타
- 아웃
- 자신의
- 비밀번호
- 암호
- 고집
- 인사
- 피벗
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 정책
- 잠재적으로
- 실용적인
- 예방
- 너무 이른
- 특권
- 문제의
- 보호
- 보호
- 보호
- 공급자
- 제공
- 최근
- 최근에
- 추천
- 추천하는
- 감소
- 등록된
- 등록
- 남아
- 연구
- 주거
- 그
- 러시아
- 러시아인
- s
- 말했다
- 둘째
- 부문
- 보안
- 연장자
- 고위 리더십
- 서비스
- 서비스
- 세션
- 변화
- 이동
- 짧은
- 영상을
- 기호
- 상당한
- 이후
- 상황
- 소프트웨어
- 소프트웨어 공급망
- SolarWinds
- 후원
- Spot
- 훔친
- 강한
- 성공한
- 성공적으로
- 이러한
- 공급
- 공급망
- 확인
- 느끼기 쉬운
- 체계
- 전술
- 인계
- 탱크
- 목표
- 대상
- 대상
- 목표
- 그
- XNUMXD덴탈의
- 영국
- 그들의
- 그들
- 그곳에.
- 따라서
- Bowman의
- 그들
- 생각
- 그
- 위협
- 위협 행위자
- 묶여
- 에
- 토큰
- 토큰
- 전통적으로
- 일반적으로
- Uk
- 무단의
- us
- 사용
- 익숙한
- 사용자
- 사용
- 유효한
- 를 통해
- 희생자
- 피해자
- 취약점
- 경고
- 였다
- 약점
- 잘
- 뭐
- 어느
- 동안
- 누구
- 누구의
- 과
- 없이
- 일하는
- 년
- 제퍼 넷