Trace Id is missing

2023년 위협 인텔리전스의 해 검토: 주요 인사이트 및 발전 사항

공유
하늘의 빨간색 원

Microsoft 위협 인텔리전스에는 믿을 수 없는 한 해였습니다. 매일 모니터링하는 65조 개 이상의 신호를 통해 밝혀지는 엄청난 양의 위협과 공격으로 인해 많은 변곡점이 생겼으며, 특히 위협 행위자가 국가 단위 지원을 확장하고 활용하는 방식에 변화가 있음을 알게 되었습니다. 지난 해에는 그 어느 때보다 더 많은 공격이 발생했으며, 공격 체인은 날이 갈수록 더욱 복잡해지고 있습니다. 체류 시간이 단축되었습니다. TTP(전술, 기술, 절차)는 본질적으로 더 민첩하고 회피하기 쉽도록 진화했습니다. 이러한 사건의 세부 사항을 다시 살펴보면 패턴을 확인하여 새로운 위협에 대응하는 방법을 결정하고 이 위협이 다음에 어떤 방향으로 이동할지 예측할 수 있습니다. 2023년 TPP에 대한 검토는 전 세계 사건에서 관찰한 내용을 통해 위협 인텔리전스 환경에 대한 포괄적인 개요를 제공하는 것을 목표로 합니다. 다음은 Ignite 2023에서 Sherrod DeGrippo와 함께 논의한 일부 동영상 조각과 함께 공유하고 싶은 몇 가지 하이라이트입니다.

John Lambert,
Microsoft 기업 부사장 겸 보안 연구원

위협 행위자 명명 분류법

2023년 Microsoft는 (1) 증가하는 복잡성, 스케일링, 최신 위협의 볼륨에 더 잘 부합하고, (2) 악의적 사용자 그룹을 참조할 수 있는 보다 조직적이고 기억에 남으며 쉬운 방법을 제공하는 새로운 날씨를 테마로 한 위협 행위자 명명 분류법으로 전환했습니다.1

Microsoft는 위협 행위자를 다음의 5가지 주요 그룹으로 분류합니다.

국가 단위 영향력 공작: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

새로운 분류법에서 날씨 이벤트나 가족 성씨는 위의 범주 중 하나를 나타냅니다. 동일한 기상 계열 내의 위협 행위자에게는 서로 다른 그룹을 구별하기 위한 형용사가 부여됩니다. 단, 개발 중인 그룹에는 4자리 숫자가 부여됩니다.

TTP(위협 전술, 기술, 절차)에 대한 2023년 동향

사용자 지정 도구 및 맬웨어 방지

스텔스를 강조하는 위협 행위자 그룹은 사용자 지정 맬웨어의 사용을 선택적으로 피했습니다. 대신 피해자의 디바이스에 존재하는 도구와 프로세스를 사용하여 공격을 시작하기 위해 유사한 방법을 사용하는 다른 위협 행위자와 함께 자신을 숨깁니다. 2

Microsoft 기업 부사장 겸 보안 연구원인 John Lambert는 위협 행위자가 스텔스를 달성하기 위해 화려한 사용자 지정 도구를 피하는 방법에 대해 간략하게 설명합니다. 아래 동영상 보기:

사이버 및 IO(영향 작전) 결합

지난 여름, Microsoft는 특정 국가 행위자가 사이버 작전과 IO(영향 작전)의 방법을 "사이버 기반 영향 작전"이라는 새로운 하이브리드로 결합하는 것을 관찰했습니다. 이 새로운 전술은 행위자가 네트워크 액세스 또는 사이버 공격 기능의 단점을 강화, 과장 또는 보완하는 데 도움이 됩니다. 3 Cyber ​​방법에는 데이터 유출, 다중 계정, 피해자 사칭, 소셜 미디어, SMS/전자메일 통신과 같은 영향력 방법과 결합된 데이터 도난, 훼손, DDoS, 랜섬웨어와 같은 전술이 포함됩니다.
웹 친화적 사이버 및 영향력 수단

SOHO 네트워크 에지 디바이스 손상

위협 행위자는 SOHO(Small office/Home office) 네트워크 에지 디바이스에서 비밀 네트워크를 조합하고 있으며, 전 세계의 취약한 엔드포인트를 찾는 데 도움이 되는 프로그램도 사용하고 있습니다. 이 기술은 속성을 복잡하게 만들어 거의 모든 곳에서 공격이 나타나도록 합니다.4

이 35초짜리 동영상에서 Microsoft의 John Lambert는 위협 행위자가 SOHO 네트워크 에지 디바이스를 그렇게 매력적인 대상으로 여기는 이유를 자세히 설명합니다. 아래 동영상 보기:

다양한 수단을 통해 초기 액세스를 확보하는 위협 행위자

우크라이나 및 기타 지역에서 Microsoft 위협 인텔리전스 연구원들은 위협 행위자가 다양한 도구 키트를 사용하여 대상에 초기 액세스를 확보하는 것을 관찰했습니다. 일반적인 전술과 기술에는 인터넷 연결 애플리케이션, 백도어 불법 복제 소프트웨어, 스피어 피싱 등이 포함됩니다. 5 하마스가 이스라엘에 대응하기 위해 공격한 후 신속하게 사이버 및 영향 작전을 확대시켰습니다.

신뢰도를 높이기 위해 피해자 사칭

사이버 공격이나 손상의 효과에 신뢰도를 더하기 위해 피해자로 알려진 조직 또는 해당 조직의 주요 인물을 사칭하는 사이버 기반 영향 작전이 증가하는 추세입니다. 6

초기 액세스 및 지속성을 위해 공개된 POC를 신속하게 채택

Microsoft는 공개된 POC(개념 증명) 코드가 출시된 직후 특정 국가 하위 그룹이 인터넷 연결 애플리케이션의 취약점을 악용하기 위해 채택하는 것을 점점 더 많이 관찰했습니다. 7

 

아래 그림은 Microsoft가 관찰한 국가별 하위 그룹이 선호하는 두 가지 공격 체인을 보여 줍니다. 두 체인 모두에서 공격자는 Impacket을 사용하여 측면으로 이동합니다.

공격 체인 설명.

위협 행위자는 대량 SMS 메시지를 사용하여 대상 그룹에게 연락을 시도합니다.

Microsoft는 여러 행위자가 대량 SMS 메시지를 사용하여 사이버 영향 작전의 증폭 및 심리적 효과를 강화하려고 시도하는 것을 관찰했습니다. 8

아래 그림은 이스라엘 스포츠 네트워크로 위장한 위협 행위자가 보낸 두 개의 SMS 메시지를 나란히 보여 줍니다. 왼쪽 메시지에는 손상된 Sport5 웹 페이지에 대한 링크가 포함되어 있습니다. 오른쪽에는 “당신의 삶에 만족한다면 우리 나라로 여행오지 마세요”라고 경고하는 메시지가 있습니다.

Atlas Group Telegram: 이스라엘 스포츠 네트워크로 가장한 SMS의 스크린샷.

소셜 미디어 작전으로 효과적인 대상 그룹 참여 증대

비밀 영향 작전은 이제 이전에 관찰된 것보다 더 큰 범위로 소셜 미디어의 대상 그룹과 성공적으로 소통하기 시작했으며, 이는 더 높아진 정교함의 수준과 온라인 IO 자산의 발전을 시사합니다.9

 

아래는 국가 그룹의 자동화된 계정에 의해 처음 업로드된 Black Lives Matter 그래픽입니다. 7시간 뒤 미국 보수 유권자를 사칭한 계정에 의해 다시 업로드되었습니다.

차별과 경찰 폭력을 규탄하고 존엄성과 안전을 옹호하며 Black Lives Matter(흑인의 생명도 소중하다) 운동을 지지하는 성명서

랜섬웨어 경제 내 전문화

2023년 랜섬웨어 운영자는 소규모 기능과 서비스에 집중하기로 선택하여 전문화를 지향하고 있습니다. 이 전문화는 복잡한 지하 경제의 ​​여러 공급자에게 랜섬웨어 공격의 구성 요소를 분산시키는 분할 효과가 있습니다. 이에 대응하여 Microsoft 위협 인텔리전스는 공급자를 개별적으로 추적하여 초기 액세스 및 다른 서비스의 트래픽을 기록합니다.10

 

Microsoft 위협 인텔리전스 위협 인텔리전스 전략 이사 Sherrod DeGrippo는 Ignite에서 찍은 동영상에서 랜섬웨어 서비스 경제의 현재 상태를 설명합니다. 아래 동영상 보기:

사용자 지정 도구 꾸준히 사용

일부 그룹은 은폐 목적으로 사용자 지정 맬웨어를 적극적으로 피하는 반면(위의 "사용자 지정 도구 및 맬웨어 방지" 참조), 다른 그룹은 공개적으로 사용 가능한 도구와 간단한 스크립트에서 벗어나 더 정교한 기술이 필요한 맞춤형 접근 방식을 선호하고 있습니다.11

대상 지정 인프라

수처리 시설, 해상 운영, 운송 조직 등의 인프라 조직에는 인텔리전스 가치가 부족하여 대부분의 사이버 스파이 활동을 유인할 만큼 가치 있는 데이터가 없지만 파괴적 가치를 제공합니다. 12

 

Microsoft의 John Lambert는 데이터가 없는 것처럼 보이는 대상이라는 사이버 스파이 역설을 간략하게 제시합니다. 아래 동영상 보기:

방금 검토한 2023년 11개 항목의 세부 내용에서 볼 수 있듯이 위협 환경은 지속적으로 진화하고 있으며 사이버 공격의 정교함과 빈도가 계속 증가하고 있습니다. 추적 중인 300명 이상의 위협 행위자가 항상 새로운 것을 시도하고 이를 시도된 진정한 TTP와 결합할 것이라는 데에는 의심의 여지가 없습니다. 이러한 위협 행위자를 분석하고 그들의 가상 사용자를 이해함으로써 다음 움직임을 예측할 수 있다는 점이 바로 위협 행위자에 대해 마음에 드는 점입니다. 이제 생성형 AI를 사용하면 이 작업을 더 빠르게 수행할 수 있으며 공격자를 더 일찍 퇴치하는 데 더 능숙해질 것입니다.

 

그럼 이제 2024년으로 넘어가겠습니다.

 

드라이브 스루로 소화할 수 있는 위협 인텔리전스 뉴스와 정보를 얻으려면 Sherrod DeGrippo가 진행하는  The Microsoft Threat Intelligence Podcast를 확인하세요.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    우크라이나에서 벌어진 1년간의 러시아 하이브리드 전쟁 페이지 14

  6. [6]

    사이버 지원 영향 작전으로 전환하여 더 큰 효과를 노리는 이란 페이지 11

  7. [7]
  8. [8]

    사이버 지원 영향 작전으로 전환하여 더 큰 효과를 노리는 이란 페이지 11

  9. [9]

    더 넓은 범위와 높은 효과를 보이는 동아시아의 디지털 위협 페이지 6

  10. [10]

    Intel에서의 한 해: APT에 대한 Microsoft의 글로벌 입장의 주요 내용

  11. [11]

    사이버 지원 영향 작전으로 전환하여 더 큰 효과를 노리는 이란 페이지 12

  12. [12]

    Intel에서의 한 해: APT에 대한 Microsoft의 글로벌 입장의 주요 내용

사이버 영향 작전 국가 단위 위협 행위자

관련 기사

전쟁 피로를 이용할 준비를 하며 기다리는 러시아 위협 행위자

우크라이나에서 전쟁이 계속되는 가운데 러시아의 사이버 및 영향 작전도 계속되고 있습니다. Microsoft 위협 인텔리전스에서는 지난 6개월 동안의 최신 사이버 위협 및 영향력 활동에 대해 자세히 설명합니다.
자세한 정보

LOTL 기술로 미국의 중요 인프라를 표적으로 삼는 Volt Typhoon

Microsoft 위협 인텔리전스는 이란의 사이버 기반 영향력 공작이 늘어나고 있음을 발견했습니다. 새로운 기법에 대한 세부 정보와 향후 위협이 발생할 가능성이 있는 위치에 대한 위협 관련 인사이트를 얻으세요.
자세한 정보

RaaS(서비스형 랜섬웨어): 산업화된 사이버 범죄의 새로운 얼굴

Microsoft 위협 인텔리전스는 우크라이나에서 있었던 1년간의 사이버 및 영향력 공작을 조사하고, 사이버 위협의 새로운 동향을 파악하며, 전쟁이 2년차에 접어들면서 예상되는 사항을 확인합니다.
자세한 정보

Microsoft Security 팔로우