연구(Insikt)

중국 위협 행위자 템프페리스코프, 러시아 APT 기술을 사용하여 영국 기반 엔지니어링 회사를 표적으로 삼다

게시일: 2018년 11월 13일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

_범위참고: 레코디드 퓨처의 인식트 그룹은 영국에 본사를 둔 엔지니어링 회사를 표적으로 삼은 침입 사고와 관련된 네트워크 침해 지표 및 TTP를 분석했습니다. 소스에는 Recorded Future의 제품, VirusTotal, ReversingLabs, DomainTools Iris, PassiveTotal과 함께 타사 메타데이터 및 일반적인 OSINT 기술이 포함됩니다.

이 보고서는 미국, 유럽, 일본의 하이테크 엔지니어링 업계와 중국의 국가 지원 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

2018년 7월 초, 영국에 본사를 둔 엔지니어링 회사의 직원들이 스피어피싱 캠페인의 표적이 되어 피해를 입었습니다. 이 캠페인은 캄보디아의 정치, 인권, 중국 개발을 취재하는 프리랜서 저널리스트의 것으로 추정되는 이메일 주소도 표적으로 삼았습니다. 두 공격 모두 2018년 7월 선거를 앞두고 캄보디아 단체를 표적으로 삼은 중국 위협 행위자 TEMP.Periscope(일명 리바이어던)의 캠페인과 동일한 인프라를 사용한 것으로 보고 있습니다. 결정적으로, 템프페리스코프가 표적으로 삼은 영국 엔지니어링 회사에 대한 관심은 2017년 5월에 있었던 침입 미수 사건으로 거슬러 올라갑니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국의 위협 행위자인 템프페리스코프가 러시아 위협 그룹 드래곤플라이와 APT28의 공개된 정교한 TTP를 재사용하여 영국 엔지니어링 회사를 공격했으며, 민감한 독점 기술 및 데이터에 액세스할 수 있을 것으로 중간 정도의 확신을 가지고 평가합니다. 저희는 템프페리스코프가 피해 네트워크에 접근하는 데 성공할 확률을 높이거나 연구자들을 혼란스럽게 하기 위해 허위 플래그를 배치하여 어트리뷰션을 회피하기 위해 공개된 TTP를 재사용한 것으로 보고 있습니다.

chinese-threat-actor-tempperiscope-1-alt.png

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

주요 판단

  • 공격자는 최근 캄보디아 정부를 표적으로 삼은 TEMP.Periscope 캠페인에서 확인된 명령 및 제어(C2) 도메인인 scsnewstoday[.]com을 사용한 것으로 보입니다.
  • 공격자는 중국 이메일 클라이언트인 Foxmail을 사용하여 스피어피싱 공격을 보냈습니다.
  • 드래곤플라이 TTP로 문서화된 독특한 기법이이번 공격에는 중요 인프라를 표적으로 삼는
  • 이 공격은 오픈 소스 도구인 Responder의 버전을 NBT-NS 포이너로 사용한 것으로 추정됩니다. APT28은 2017년에 호텔에 투숙하는 여행객을 대상으로 한 공격에 리스폰더를 사용했습니다.
  • 이 영국 엔지니어링 회사는 2017년 9월에 미국의 엔지니어링 및 학술 단체를 표적으로 삼은 것과 동일한 C2 인프라를 사용한 2017년 5월 캠페인에서 템프페리스코프의 표적이 된 적이 있으며, 이는 프루프포인트의 리바이어던 보고서에 자세히 설명되어 있습니다.

배경

템프페리스코프는 국가가 후원하는 중국의 위협 행위자로, 2017년 10월 리바이어던이라는 그룹에 대한 보도가 나오면서 처음으로 대중의 주목을 받기 시작했습니다. 리바이어던은 고유한 오픈 소스 툴을 조합하여 해양 및 방위 산업을 첩보 활동의 대상으로 삼았습니다. 이 보고서는 적어도 2014년까지 거슬러 올라가는 이 그룹에 대한 자세한 내용을 담고 있습니다.

보고서가몇 달 후 미국과 유럽의 기업을 주로 표적으로 삼은 해양 및 방위 부문에 대한 추가 활동을 강조하는

첨단 해양 엔지니어링 단체에 대한 표적 공격이 증가한 것은 남중국해(SCS) 영토 대부분에 대한 중국의 영유권 주장을 둘러싼 지역적 긴장이 고조되는 시기와 맞물려 있습니다. 2018년에는 남중국해 주변 국가를 노리는 중국의 사이버 스파이 활동이 계속 증가했으며, 2018년 7월 선거를 앞두고 캄보디아를 노린 템프페리스코프의 활동이 보고된 바 있습니다. 또한 2018년 초에 미 해군 계약업체를 대상으로 잠수함 기반 초음속 대함 미사일 개발 계획이 포함된 매우 민감한 데이터를 대량으로 도난당한 사건과 같은 공격은 중국이 미국과의 기술 격차를 줄이기 위해 첨단 해군 기술을 지속적으로 노리고 있다는 것을 보여줍니다.

위협 분석

감염 벡터

저희가 연구한 침입 시도는 전문 엔지니어링 솔루션을 제공하는 영국 회사의 네트워크를 표적으로 삼았습니다. 영국 엔지니어링 회사는 스피어피싱 시도에 대한 세부 정보를 Recorded Future와 공유했으며, 다음 IOC가 조사의 출발점이 되었습니다.

chinese-threat-actor-tempperiscope-2-alt.png

Email headers revealed that the spearphish was sent on July 6, 2018 at 9:30 AM UTC, via Foxmail. Foxmail is a freeware email client developed by Tencent, one of the three largest internet services companies in China. Foxmail boasts over three million daily users in China and has previously been associated with Chinese APT activity.

영국 엔지니어링 회사 직원의 이메일 주소 외에도 캄보디아에 거주하는 언론인의 것으로 추정되는 이메일 주소에도 동일한 스피어피싱이 발송되었습니다. 발신자 계정은 캄보디아의 민사 및 사회 문제에 대해 글을 쓰고 프놈펜 포스트에 기고하는 호주 언론인이자 변호사를 사칭했습니다.

2018년 7월 캄보디아 선거를 노린 스피어피싱 캠페인에서 중국 위협 공격자 TEMP.Periscope는 발신자 주소를 위조하고 캄보디아 비정부기구(NGO) 직원을 사칭했습니다.

chinese-threat-actor-tempperiscope-3-alt.png

표적이 된 영국 엔지니어링 회사가 공유한 스피어피싱 이메일의 스니펫입니다.

이 이메일에는 두 개의 악성 링크가 포함되어 있었습니다. 첫 번째, "file://" 링크를 클릭하면 SMB 세션이 생성됩니다. 두 번째 링크는 .url 파일도 아웃바운드 SMB 연결을 생성하도록 구성했습니다.

협박범은 캄보디아 기자로 가장하여 피해자에게 "신고 웹사이트"에 업로드할 추가 정보를 요청했습니다. 그러나 메시지의 맞춤법 및 구두점 오류로 인해 피해 조직의 네트워크 방어자들은 경고를 받았습니다.

이메일 헤더에 포함된 메타데이터와 SMB를 통한 파일 공유와의 제어된 상호 작용을 분석한 결과 침입 시도의 몇 가지 흥미로운 특징을 발견했습니다.

응답자: "NetBIOS 포이너"

First, we analyzed the SMB file path link. We observed the hostname WIN-PRH492RQAFV on C2 82.118.242[.]243 when it attempted to acquire SMB credentials from the victim network. We then noted the hostname WIN-PRH492RQAFV was hardcoded within several forked versions of a Python hacktool called Responder on GitHub. One version of Responder with this hostname was found in a build of P4wnP11 that was uploaded to BeeBin, a free file upload service, and another version with the same hostname was found within PiBunny.

chinese-threat-actor-tempperiscope-4-alt.png

GitHub의 응답자 수정 버전에 존재하는 WIN-PRH492RQAFV 문자열입니다.

리스폰더는 2014년 1월에 출시되었습니다. 공식 GitHub 리포지토리에 있는 README 파일에 다음과 같이 설명되어 있습니다: "응답자는 LLMNR, NBT-NS 및 MDNS 포이너입니다. 이름 접미사를 기반으로 특정 NBT-NS(NetBIOS 이름 서비스) 쿼리에 응답합니다(참조: http://support.microsoft.com/kb/163409). 기본적으로 이 도구는 SMB용 파일 서버 서비스 요청에 대해서만 응답합니다. 이 뒤에 숨은 개념은 우리의 답변을 타겟팅하고 네트워크에서 더 은밀하게 ..."

리스폰더의 악의적인 사용은 2017년 8월 11일 팬시 베어라고도 알려진 APT28이 사용하는 것으로 처음 공개적으로 문서화되었습니다. 이 도구는 호텔 방문객을 대상으로 NetBios 리소스를 스푸핑하는 데 사용되었습니다. 피해자들은 강제로 UDP 포트 137에 연결하고 SMB를 통해 APT28에 자격 증명을 공개하도록 강요받았으며, 위협 행위자는 이를 사용하여 네트워크에 대한 높은 수준의 액세스 권한을 얻었습니다.

러시아에서 더 많은 교훈을 얻으세요: "file://" 경로를 사용한 SMB 자격 증명 수집

리스폰더의 사용을 기반으로, 이 위협 행위자는 또 다른 러시아 위협 행위자인 드래곤플라이(Dragonfly, 에너지 곰 또는 웅크린 설인이라고도 함)의 기술을 차용한 것으로 보입니다.

The path “file://82.118.242[.]243/[REDACTED]” used in the spearphish was likely to steal SMB credentials by creating an invisible image tag that the host attempts to fetch over SMB, while giving the attackers a hashed value of the user's NTLM password. When executing the code, the browser creates an invisible image tag and sets the URL to an attack server using the “file://” protocol scheme, which also transmits the user’s login NTLM hash. This created an effective watering hole to fingerprint potential victims and gather credentials for subsequent incursions into target networks.

"파일://" 경로를 활용하여 SMB 연결을 트리거하는 이 기법은 2018년 3월 15일에 US-CERT가 드래곤플라이 위협 행위자로 추정되는 러시아 정부 기관이 에너지 산업 및 기타 중요 인프라 부문을 표적으로 삼아 사용하는 정교한 기법으로 처음 공개적으로 자세히 설명했습니다.

SWC Hosted On 82.118.242[.]243?

Registration details for 82.118.242[.]243, the IP associated with the SMB credential theft detailed above, proved to be inconclusive. WHOIS referenced the IP within a massive range registered to the U.K. ISP Virgin Media (82.0.0.0 - 82.47.255.255). However, MaxMind resolved the IP to Bulgarian hosting provider Histate Global Corp.

Based on the listed vulnerabilities in Shodan and scan results for the machine, 82.118.242[.]242 is a web server likely running Windows Internet Information Services (IIS) 7.5. It has ports 22, 80, 88, 443, 445, 587, 902, and 5985 open.

chinese-threat-actor-tempperiscope-5.png

Vulnerabilities likely associated with 82.118.242[.]243.

Another IP address that falls within the same /24 CIDR range, 82.118.242[.]124, was flagged in Recorded Future with an abnormally high risk score of 89 in July 2018. This was due to the IP appearing in the IOC listing by Cisco Talos as second-stage malware associated with the VPNFilter botnet. This botnet has been attributed to APT28 by the U.S. Department of Justice.

Based on the vulnerability of the web server 82.118.242[.]243 and the use of the “file://” SMB credential stealing technique directing the victim to the IP, we believe the threat actor compromised the web server and used it as a targeted watering hole to illicitly acquire SMB credentials from victims during this campaign.

WIN-AB2I27TG6FK 및 중국 위협 행위자 TEMP.Periscope

Hostname WIN-AB2I27TG6FK was observed as the NetBios server name of the device sending the spearphish from the VPN IP 193.180.255[.]2.

호스트 이름 WIN-AB2I27TG6FK에 대한 오픈 소스 조사 결과, 파일 이름에 호스트 이름이 포함된 여러 파일을 호스팅하는 URL scsnewstoday[.]com/news/의 오픈 디렉토리(Google 캐시 링크)가 발견되었습니다(아래 도메인 스냅샷 참조). 이 도메인은 이전에 중국 위협 행위자 TEMP.Periscope가 에어브레이크 다운로더를 제공하는 데 사용한 C2로 보고된 바 있습니다. Orz라고도 알려진 에어브레이크는 합법적인 서비스에서 감염된 웹페이지와 행위자가 제어하는 프로필의 숨겨진 문자열에서 명령을 검색하는 자바스크립트 기반 백도어입니다.

chinese-threat-actor-tempperiscope-6-alt.png

http://scsnewstoday[.]com/news에서 호스팅되는 열린 디렉터리의 파일 목록입니다.

에어브레이크 외에도, scsnewstoday C2 서버는 캄보디아 선거를 앞두고 캄보디아 단체를 표적으로 삼은 TEMP.Periscope 악성 활동과 관련된 다른 멀웨어와 로그를 호스팅한 것으로 알려졌습니다. 영국 엔지니어링 회사를 대상으로 한 스피어피싱은 이 캠페인이 활발히 진행되던 2018년 7월 초에 발생했습니다. 오픈 디렉터리의 파일 이름에 사용된 명명 규칙으로 판단할 때, C2S와 S2C는 클라이언트-서버 및 서버-클라이언트 연결과 관련된 호스트 이름인 WIN-AB2I27TG6FK와 관련된 호스트 이름일 가능성이 높습니다(scsnewstoday[.]com과 관련된 것으로 평가). C2. 파일 이름의 호스트 이름이 TEMP.Periscope의 표적이 된 클라이언트 또는 피해자와 관련된 호스트 이름이라면 더 많은 파일이 나열될 것으로 예상됩니다.

The domain scsnewstoday[.]com was hosted on U.S. IP 68.65.123[.]230 and registered to domain hosting service Namecheap until July 11, 2018. Details of the C2 domain were published just a day earlier, which we believe may have unnerved TEMP.Periscope operators, resulting in it being dropped. Unfortunately, the open directory is no longer accessible, which hampered our ability to understand the precise nature of the three files containing the WIN-AB2I27TG6FK hostname.

업계 보고에 따르면, 중국 스파이 그룹인 템프페리스코프는 최소 2013년부터 대규모 피싱, 침입, 원격 액세스 트로이목마(RAT) 및 데이터 유출 활동을 수행해 왔습니다. 주로 엔지니어링, 해운 및 운송, 제조, 국방, 관공서, 연구 대학 등 여러 산업 분야의 해양 관련 기관을 타깃으로 삼았습니다. 하지만 전문 및 컨설팅 서비스, 하이테크 산업, 의료, 미디어 및 출판 분야도 타깃으로 삼고 있습니다.

Originating IP for Spearphish 193.180.255[.]2

This IP appeared in the email header information as the X-Forwarded-For IP, indicating that it was the originating IP address for the sender of the spearphish. WHOIS registration data revealed that 193.180.255[.]2 is registered to Privat Kommunikation Sverige AB, which is the full company name of PrivateVPN, a popular commercial VPN service. The company states that they support OpenVPN over TCP/UDP, L2TP, IPSEC, PPTP, and IKEv2 protocols.

Recorded Future identified three VPN connections involving the 193.180.255[.]2 IP between June 30 and July 1, 2018. All three connections were over UDP 500 (IKE/IKEv2), originating from Bangladesh IP 103.198.138[.]187.

Additionally, between July 3 and July 10, 2018, 193.180.255[.]2 established SSH (TCP 22), NetBios (TCP 139), and Microsoft SMB (TCP 445) connections to the malicious SMB credential harvesting C2 82.118.242[.]243. Interestingly, these connections took place during the seven-day window within which the spearphish was sent.

영국 엔지니어링 회사를 대상으로 한 TEMP.Periscope의 과거 타겟팅 기록

Prior to this attempt in July, the same U.K. engineering company had previously been targeted in May 2017. This campaign used the ETERNALBLUE exploit and a unique DNS tunneler backdoor. The DNS tunneler used in the attack was configured to communicate with a subdomain of thyssenkrupp-marinesystems[.]org. The domain was clearly spoofing German defense contractor ThyssenKrupp Marine Systems, which specializes in marine engineering. In addition to hosting the spoofed domain, Netherlands-based HostSailor VPS IP 185.106.120[.]206 also hosted an open directory containing malware and tools for use by the threat actor, not dissimilar to the TEMP.Periscope scsnewstoday[.]com C2 and open directory set up.

레코디드 퓨처가 스푸핑된 도메인을 분석한 결과, 이 서버는 2017년 8월 Leviathan(TEMP.Periscope라고도 알려진)이 또 다른 자바스크립트 백도어인 AIRBREAK를 실행하는 데 사용한 SeDll 자바스크립트 로더 SHA256: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4를 호스팅하는 것으로 밝혀졌습니다. 결정적으로 리바이어던이 중국 위협 행위자로 처음 언급된 것은 2017년 10월로, 이는 템프페리스코프가 6개월 전에 동일한 인프라를 사용하여 영국 엔지니어링 회사를 표적으로 삼았다는 의미입니다.

In November 2017, another spearphish leveraging Microsoft Equation Editor vulnerability CVE-2017-11882 was sent to the U.K. engineering company. This attack delivered a Cobalt Strike payload.

결론 및 전망

스피어피시 시도를 통해 여러 위협 행위자들의 최근 활동과 연관된 일련의 TTP가 발견되었습니다: APT28, Dragonfly 및 TEMP.Periscope. 이 공격에서 관찰된 주요 TTP를 시간순으로 나열하여 이러한 TTP에 대해 공개된 보고에서 모방된 기법의 가능성에 대한 주의를 환기시키고자 합니다. 아래 표에 요약되어 있습니다:

chinese-threat-actor-tempperiscope-7-alt.png

공격에 사용된 것으로 관찰된 TTP 요약 및 유사한 APT TTP에 대한 링크.

나열된 APT28, Dragonfly 및 TEMP.Periscope TTP의 대부분이 이미 공개되었으므로, 관찰된 활동에는 세 가지 가능성이 있는 시나리오가 있다고 생각합니다:

  • 러시아 위협 행위자가 TEMP.Periscope TTP를 차용한 것으로 밝혀졌습니다.
  • TEMP.Periscope는 러시아의 위협 행위자 TTP를 차용했습니다.
  • 또 다른 위협 행위자는 러시아 그룹과 TEMP.Periscope의 TTP를 사용했습니다.

위의 세 가지 가설 중 어떤 것이 우리의 관찰을 가장 잘 설명하는지 평가하기 위해 이 보고서에 자세히 설명된 축적된 증거를 평가했습니다.

First, we are certain that the attacker used IP 193.180.255[.]2 as a VPN endpoint to send the spearphish because the IP address resolves to Swedish VPN service PrivateVPN. We are also certain that the device that sent the spearphish was associated with the WIN-AB2I27TG6FK hostname. Further, we can state that this hostname was used in the filename of several files hosted on a known TEMP.Periscope C2, which had an open directory. As outlined earlier in this report, we believe the sender of the spearphish, WIN-AB2I27TG6FK, is probably the hostname of the TEMP.Periscope open directory hosted at scsnewstoday[.]com.

이 스피어피싱은 2018년 7월 6일에 전송되었습니다. 불과 며칠 후, 파이어아이는 2018년 7월 캄보디아 선거를 겨냥해 scsnewstoday[.]com에 호스팅된 오픈 디렉터리를 C2로 사용한 TEMP.Periscope 캠페인에 대해 보고했습니다. 이 보고서는 동일한 인프라가 적어도 2017년 4월부터 활성화되었을 가능성이 높다고 지적했습니다.

Secondly, the “file://” path included in the spearphish linking to the C2 82.118.242[.]243 was designed to steal credentials over SMB. This technique was documented publicly as a Dragonfly threat actor TTP by the US-CERT in March 2018, almost four months before the observed attack.

The observed hostname on the 82.118.242[.]243 IP was WIN-PRH492RQAFV, which we found was hard coded in a forked Responder script on GitHub. The original Responder script has previously been used by another Russian threat actor, APT28, according to reporting published in August 2017.

chinese-threat-actor-tempperiscope-1-alt.png

일부 APT28, Dragonfly 및 TEMP.Periscope TTP 공개 및 활동의 타임라인입니다.

2017년 8월 파이어아이가 APT28의 리스폰더 사용을 공개한 지 최소 2개월 후인 2017년 10월부터 연구 커뮤니티에서 활발히 추적하고 있습니다.2 이후 2018년에는 미국과 유럽의 해양 엔지니어링 회사 및 캄보디아 정부를 상대로 한 캠페인과 함께 TEMP.Periscope 활동에 대한 보고가 쇄도했습니다. 여기서 주목할 점은 저희가 관찰한 스피어피싱 역시 캄보디아에 거주하는 기자의 이름이 포함된 이메일 계정으로 발송되었으며, 이전에 캄보디아 관련 보도를 했던 호주 기자를 사칭한 계정에서 발송되었다는 점입니다.

따라서 러시아 툴링의 타임라인이 공개되기 전에 템프페리스코프 캠페인이 공개되면서 템프페리스코프가 어트리뷰션 노력을 방해하거나 단순히 효과적이라고 판단되는 기법을 사용하기 위해 TTP를 조정했을 가능성이 높습니다.

scsnewstoday[.]com과 인프라가 중복됩니다. 이 도메인은 영국 엔지니어링 회사에 스피어피시가 전송된 지 불과 며칠 후에 TEMP.Periscope가 사용한 것으로 파이어아이에 의해 공개적으로 보고되었기 때문에 다른 위협 행위자가 C2를 침해했을 가능성은 매우 낮습니다. 또한, 적어도 2017년 5월부터 템프페리스코프가 이 영국 엔지니어링 회사를 장기적으로 표적으로 삼았다는 점은 이 그룹의 끈질긴 접근 시도를 강조합니다.

이 보고서에서 설명한 가용 데이터와 증거를 바탕으로 Recorded Future는 중국 위협 행위자 TEMP.Periscope가 다른 위협 그룹의 TTP를 재사용하여 영국 엔지니어링 회사를 표적으로 삼아 민감한 독점 기술 및 데이터에 액세스할 가능성이 있다고 중간 정도의 신뢰도를 가지고 평가합니다. 템프페리스코프는 APT28이나 드래곤플라이와 같은 다른 그룹으로부터 학습하여 피해자 네트워크에 대한 액세스 성공 가능성을 높이거나 어트리뷰션 시도를 난독화하기 위해 TTP를 빠르게 조정할 수 있는 능력을 보여주었습니다.

레코디드 퓨처는 템프페리스코프가 첨단 방위 및 엔지니어링 분야의 조직을 지속적으로 공략할 것으로 예상하고 있습니다. 특히 해양 공학 분야에서 첨단 기술을 개발해야 하는 중국의 전략적 요구는 중국이 남중국해 영토를 장악하려는 움직임에 따라 여전히 집중되고 있습니다. TEMP.Periscope는 여전히 광범위하게 성공하고 있고 상대적으로 저렴한 비용으로 사용할 수 있기 때문에 계속해서 상용 멀웨어를 사용할 것으로 예상됩니다. 이들은 피해자의 네트워크에 접근하기 위해 공개적으로 보고된 기술을 악용하고 사용하는 '유행하는' 취약점을 계속 관찰할 것입니다.

마지막으로 레코디드 퓨처는 위협 행위자들이 인프라를 보호하고 경쟁 행위자들이 사용하는 기술을 관찰하기 위해 출판물과 데이터 소스를 모니터링하면서 서로를 적극적으로 모방하고 있다고 보고 있습니다. 공격자들은 올림픽 파괴자 캠페인에서 관찰된 것처럼 기술적 수단이나 기술 에뮬레이션을 통해 계속해서 허위 깃발을 심을 것으로 예상됩니다. 탐지 수단이 크게 개선됨에 따라 코드 중복을 공개적으로 식별하고 TTP를 매핑하는 것은 잘 조율된 작업의 손에 달려 있으며, 이는 이제 어트리뷰션 결과를 어둡게 만들 수 있습니다. 보고서에 언급된 샘플과 기법은 이제 이러한 문제에 대한 대중의 보고가 많기 때문에 신규 또는 진행 중인 캠페인에 빠르게 적용될 수 있습니다. 이러한 혼란을 통해 표적 캠페인은 노이즈에 더 잘 섞여 적 그룹 간의 경계를 모호하게 만들 수 있습니다.

네트워크 방어 권장 사항

레코디드 퓨처는 네트워크 액세스 권한을 얻기 위해 자격 증명을 도용하려는 TEMP.Periscope의 시도를 방어할 때 다음과 같은 조치를 수행할 것을 조직에 권장합니다:

  • 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
  • 부록 B에 제공된 Snort 규칙을 IDS 및 IPS 어플라이언스에 포함시켜 SMB 자격 증명 도용 시도를 탐지하세요. 또한, 해당되는 경우 부록 B에 제공된 Bro 쿼리를 사용하여 네트워크에서 이 보고서에 자세히 설명된 TEMP.Periscope TTP의 징후를 찾아보세요.
  • Recorded Future의 API를 사용하여 이 보고서(부록 A)에 나열된 지표를 엔드포인트 탐지 및 대응(EDR) 플랫폼으로 가져올 수 있습니다.
  • 부록 A의 지표에 대한 연결을 경고하고 차단하도록 엔드포인트 탐지 및 응답 트래픽을 구성하세요.
  • 부록 C에 제공된 Yara 규칙을 활용하여 네트워크에서 스피어피싱이 조직에 전송된 증거를 검색하세요.
  • 네트워크 전반의 SMB 트래픽, 특히 SMB를 통해 인증하려는 외부 시도를 모니터링하고 제한하세요.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

1P4wnP1 is a highly customizable USB attack platform based on a Raspberry Pi Zero computer.

2 F-Secure published research in August 2016 on their investigations into the NanHaiShu RAT, which has since been attributed to TEMP.Periscope (Leviathan).

관련 뉴스 & 연구