고정 헤더 영역
상세 컨텐츠
본문
728x90
1. APT 뉴스
1.1 우-러 갈등 업데이트. 중국/러시아/벨라루스 손잡기
구글의 Threat Analysis 그룹에 따르면 FancyBear이라는 이름으로 알려진 APT28는 UkrNet이라는 우크라이나 미디어 기업을 피싱 캠페인으로 공격한다고 밝혔습니다. FancyBear는 러시아의 정보 총국 (GRU)에 속한 해커들인 만큼 능력이 풍부하고 재정 지원이 많습니다. 우크라이나의 기업과 국민들을 공격하는 해커들은 단지 심심한 청소년이 아니라 러시아 정부의 최고의 해커들입니다.
러시아와 친하게 지내는 벨라루스도 자신의 GhostWriter (UNC1151)이라는 이름으로 알려진 해커들을 파견했습니다. FancyBear와 똑같이 피싱 캠페인으로 공격했으며 그 공격의 대상은 우크라이나하고 폴란드 정부와 군사 기구였습니다.
홍콩과 대만 침공에 대한 계획을 세운 중국도 가만히 있지 않습니다. Mustang Panda 혹은 Temp.Hex이라는 중국 Threat Actor는 악성 첨부파일 만들어 유럽연합의 회원국들을 공격합니다. 악성 첨부파일은 Dropper 역할을 하며 다양한 다른 악성파일들을 다운로드합니다.
Cyberknow이라는 Medium 블로그가 우-러 갈등에 '참전'하는 해커 그룹에 대한 요약 그래픽을 만들었습니다. 아래의 사진 보시면 우크라이나를 지원하는 그룹들이 많으나 어느 정도의 실력을 갖고 있는지는 알 수가 없습니다. 그 반면에 러시아를 지원하며 몹시 유명한 SandWorm이라는 그룹이 있는 것이 보입니다.
1.2 APT 41 미국 정부 기관 해킹 요약
APT41, Double Dragon, Wicked Panda이라는 이름으로 알려진 중국 Threat Actor의 리뷰를 보겠습니다.
Wicked Panda는 주로 미국을 공격하며 주로 cyber-espionage를 위한 악성코드를 사용합니다. 무슨 말이냐면, 랜섬을 받거나 피해자의 컴퓨터를 파괴하는 것이 아니라 정부기관하고 연구소를 해킹하여 최근의 획기적인 기술에 대한 정보를 탈취하는 것이 목표입니다.
Mandiant에 따르면 APT 41은 6개의 미국 주 정부의 홈페이지를 해킹하여 침입했으며 SQL injection과 .NET deserialization과 directory traversal 취약점을 악용했다고 합니다. 아울러 정부에서 쓰는 USAHerd이라는 소프트웨어의 Zero-Day까지 썼으며 몇 달 전 핫이슈가 됐던 Log4j 취약점 도움으로도 자신의 해킹 캠페인을 진했습니다. 보시다시피 APT 그룹들은 Zero-Day를 개발할 수 있는 능력도 갖고 있으나 공개된 취약점을 악용하는 경우도 많으니 취약점이 생겼을 때 빠른 패칭의 중요성이 명백합니다.
웹서버를 침입한 다음에 named pipe impersonation로 귀한 상승하기 위해 ConfuserEx로 난독화된 Badpotato를 사용합니다. 아울러 해커들은 SAM하고 System registry hive를 탈취한 후 Mimikatz으로 비밀번호와 NTLM hash들을 받았습니다. 또한 C++로 개발된 DUSTPAN이라는 새로운 악성코드 발견됐습니다. Dropper의 역할을 하며 Cobalt Strike Beacon으로 백도어를 만드는 행동이 확인됐습니다.
더 정확한 요약은 다음 링크 확인해보시길 바랍니다:
https://www.mandiant.com/resources/apt41-us-state-governments
1.3 20대 대통령 선거 북한 공격
이 주제는 일반 뉴스에 얼마나 자주 나오는지 잘 모르겠지만 북한은 대한민국을 악성코드로 공격해왔고 앞으로도 틀림없이 공격할 것입니다. 북한 해킹 공격의 대상은 주로 기술연구소, 정부기관, 탈북자, 대학교 교수들이며 무기는 악성 한글 문서들입니다. 특히 선거 같은 중요한 이벤트가 앞두고 있을 때 공격이 많아지며 피해자가 악성 파일을 열어버릴 확률이 높아집니다.
악성 워드 파일이 어떻게 작동하는지가 궁금하시면 제가 몇 주 전에 쓴 블로그를 추천해 드리고 싶습니다.
위 블로그에서 쓰는 악성코드는 아주아주 간단하지만 콘셉트는 똑같습니다. 코드가 실행된 다음에 다른 악성코드를 드랍하고 다운로드하거나 reverse shell를 설치합니다. 실행되면 해커가 무엇을 할 수 있는지도 비디오로 보여드립니다.
2. 해킹 범죄 조직 리뷰
지난주 블로그는 Conti 랜섬웨어 그룹 노출된 정보에 대해 보고했는데 영어로 번역된 자료가 생겼으니 관심 있으신 분들은 한번 확인해 보시는 것이 좋을 것 같습니다. 채팅 로그, '회사' 운영 방식, 비트코인 거래, 피해자를 공격 툴 등
https://www.breachquest.com/conti-leaks-insight-into-a-ransomware-unicorn/
The DFIR Report에서 2021리뷰 블로그가 나왔는데 Trickbot, Hancitor, Bazar, IcedID 등 유명한 malware 가족들에 대한 정보가 많습니다. 공부하실 수 있는 정보를 간략하게 요약하자면:
1) 초기 액세스
2) 지속성
3) 권한 상승/비밀번호 탈취
4) 방어 장치 우회
5) Lateral Movement
6) C2
7) Cobalt Strike
8) Fingerprinting
9) 공격자 기반 구조
10) 블루팀을 위한 조언
3. 강의 추전
오늘 추전해 주고 싶은 강의는 Certified Red Team Operator라는 강의입니다.
가격은 6십4만 원인데 너무나 합리적인 가격이라고 생각합니다. Red Team에 대한 강의가 별로 없을 뿐만 아니라 SANS이나 Offensive Security 같은 회사의 가격을 보면 (몇 백만 원!!) 6십만 원은 싼 편인 것 같습니다.
초기 액세스부터 Domain Admin까지 어떻게 Active Directory 환경을 손상할 수 있는지를 가르쳐 줍니다.
그것뿐만 아니라 얻은 지식을 랩 환경에서 바로 실습이 가능합니다!
그러나 가장 좋은 점은 뭐냐면, 모든 Red Teamer들이 사용하는 Cobalt Strike를 사용할 수 있다는 것입니다! Cobalt Strike 라이선스는 4백만 원 이상인데 강의료를 내면 Cobalt Strike으로 실습까지! 제가 지금까지 쓴 악성코드 분석과 뉴스를 읽으신 분들은 알고 계시겠지만 APT 그룹과 Conti 같은 범죄 조직 해커들도 Cobalt Strike를 많이 사용합니다. 어떤 위협으로부터 자신을 보호하고 싶다면 공격이 어떻게 이루어지는지 알아야 하잖아요? 이 강의로 다 가능합니다!
https://courses.zeropointsecurity.co.uk/courses/red-team-ops
