위협 행위자가 통신 서비스 제공업체를 표적으로 삼고 탐지 시 방어 방법을 변경하다

최근 공격에서 위협 행위자는 통신 서비스 제공업체와 비즈니스 프로세스 아웃소싱 회사를 탈취하고, 공격이 탐지되었을 때 적용된 방어 완화 방법을 신중하게 변경했습니다.

이 공격은 CrowdStrike에 의해 밝혀졌으며, 이 공격은 2022년 6월부터 시작되어 현재까지 진행 중이며, 연구자들은 이미 다섯 가지의 다른 침입을 확인했습니다. 이 공격은 돈을 목적으로 하는 것으로 보입니다.

이 공격을 추적한 CrowdStrike 연구원들은 이를 낮은 신뢰도의 Scattered Spider와 연관 지었으며, 이들은 접근을 유지하고 방어 완화를 변경하며 탐지를 피하고, 중단될 경우 다른 유효한 표적으로 전환하는 데 지속성을 보입니다.

보안 회사는 이 캠페인의 주요 목표가 통신 네트워크 시스템에 침입하여 가입자의 정보에 접근하고 SIM 교체와 같은 다른 활동을 수행하는 것이라고 말합니다.

해커들은 통신 직원으로 가장하고 SMS나 텔레그램과 같은 즉시 메시징 앱을 사용하여 표적을 회사 로고가 있는 맞춤형 피싱 웹사이트로 리디렉션하는 등 여러 사회 공학 기법을 적용하여 기업 통신에 초기 접근을 얻습니다.

회사가 MFA(다중 인증)를 사용하는 경우, 위협 공격자는 푸시 알림 MFA 피로를 배포하는데, 이는 해커가 도난당한 자격 증명으로 로그인 시도를 반복하는 스크립트를 실행하여 소유자의 전화로 끝없는 MFA 푸시 요청의 흐름처럼 느껴지게 만드는 것입니다. 또한, 다른 사회 공학 전술을 적용합니다.

읽기: 버너 계정이란 무엇인가? 유용한가?

이 외에도 해커들은 한 경우에 CVE-2021-35464를 악용하여 코드를 실행하고 AWS 사례를 사용하여 권한을 상승시키며, 위협 행위자는 감염된 AWS 토큰을 사용하여 인스턴스 역할의 권한을 요청하고 가정한다고 보안 회사는 언급합니다.

또한 해커들이 시스템에 접근한 후에는 손상된 사용자 계정을 사용하여 신뢰할 수 있는 MFA 목록에 자신의 장치를 추가하려고 시도합니다.

CrowdStrike는 또한 해커들이 캠페인에 다음과 같은 원격 모니터링 메커니즘 및 관리 도구를 사용하고 있음을 발견했습니다,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell 및 RDP 터널링을 통한 SSH  
Sorillus

이들 대부분은 기업에서 사용하는 신뢰할 수 있는 소프트웨어로, 보안 소프트웨어에서 경고를 받을 가능성이 낮습니다. 또한 보안 회사에서 발견한 침입들은 해커들이 탐지된 후에도 침해된 네트워크에 대한 접근을 유지하려는 시도가 격렬해졌다고 언급합니다.

또한 다른 두 가지 관찰에서 위협 행위자들은 VPN(가상 사설망) 접근이나 RMM 도구와 같은 지속성 방법을 배치하여 이러한 완화 조치가 느리게 적용되면 더욱 활발해진 것으로 보입니다.

다른 몇 가지 사례에서는 적이 피해 조직에 의해 이전에 비활성화된 계정을 다시 활성화하는 등 심각한 방법으로 돌아갔습니다.

CrowdStrike는 또한 위협 행위자들이 다양한 VPN과 ISP를 사용하여 피해자의 Google Workspace 환경에 접근하고, 적들이 다양한 종류의 스파이 정보, 손상된 테넌트에서 사용자 목록을 다운로드하고, WMI 및 SSH 터널링 및 도메인 복제를 악용했다고 덧붙였습니다.

읽기: A37 그룹의 돌핀 맬웨어가 데이터를 훔치고 한국 신문을 표적으로 삼다