이란의 위협 행위자, 사우디 조직을 표적으로 삼아 대규모 사이버 작전 인프라 네트워크 구축
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
인사이트 그룹® 연구원들은 일반적인 분석 기법과 함께 기록된 미래 네트워크 트래픽 분석, 기록된 미래 도메인 분석 등 독자적인 방법을 사용하여 이란의 사이버 스파이 위협 행위자인 APT33(엘핀)을 프로파일링하고 2019년 3월 TTP의 공개 노출이 이들의 활동에 영향을 미쳤는지 확인했습니다.
데이터 소스에는 Recorded Future® 플랫폼, 파사이트 시큐리티의 DNSDB, 리버싱랩스, 바이러스토탈, 쇼단, 일반적인 OSINT 기법 등이 있습니다.
이 보고서는 중동 지정학에 관심이 있거나 중동에 진출해 있거나 항공우주 및 방위, 에너지, 금융, 통신, 제조 등 APT33의 표적이 되는 산업에 종사하는 조직의 네트워크 방어자들이 가장 관심을 가질 만한 보고서입니다.
이 연구는 2019년 2월 10일부터 2019년 6월 6일 사이에 수집된 데이터를 기반으로 합니다.
Executive Summary
미국과 이란은 계속해서 긴장을 고조시키고 있으며, 최근에는 호르무즈 해협뿐만 아니라 사이버 영역에서도 수사와 행동을 가속화하고 있습니다. 지난 3개월 동안 레코디드 퓨처의 인식트 그룹은 APT33(일명 엘핀)의 인프라 구축 및 표적 활동이 증가하는 것을 관찰했으며, 2019년 6월 21일 야후! 뉴스는 미국 사이버 사령부가 "이란 스파이 그룹"에 사이버 공격을 시작했다고 보도했습니다.
이란의 국가 지원을 받는 위협 행위자인 APT33은 최소 2013년부터 사이버 스파이 활동을 수행해 왔으며, 주로 중동 국가를 대상으로 하지만 다양한 분야의 미국, 한국, 유럽 상업 단체도 표적으로 삼고 있습니다.
인싯트 그룹 연구원들은 최근 활동을 파악하고 이 그룹의 전술, 기술 및 절차(TTP)를 더 잘 이해하기 위해 최근 보고된 이란 위협 행위자 APT33의 도메인 및 호스팅 인프라를 프로파일링하기 위해 기록된 미래 도메인 분석 및 기록된 미래 네트워크 트래픽 분석을 비롯한 독점적인 방법과 기타 일반적인 분석 접근법을 사용했습니다.
파이어아이의 연구 결과, APT33 또는 밀접하게 연계된 위협 행위자가 2019년 3월 28일 이후 1,200개 이상의 도메인을 사용하고 상용 멀웨어 사용에 중점을 두고 광범위한 사이버 스파이 활동을 지속적으로 수행하고 준비하고 있는 것으로 나타났습니다. 상품 멀웨어는 대규모로 컴퓨터 네트워크 운영을 수행하고 다른 위협 행위자들의 활동 소음 속에 숨어 어트리뷰션 노력을 방해하려는 국가적 위협 행위자들에게 매력적인 옵션입니다.
다양한 산업 분야에서 주로 사우디아라비아 조직을 표적으로 삼는 것은 이 그룹의 과거 표적 공격 패턴과 일치하며, 이전에도 이 그룹의 활동이 노출된 이후에도 별다른 제지를 받지 않고 있는 것으로 보입니다. 서방과 사우디의 공공 및 민간 부문 모두 역사적으로 APT33의 표적이 되어 온 산업 분야의 조직은 지정학적 상황을 모니터링하고 특히 피싱 캠페인, 웹쉘, 제3자(벤더 및 공급업체) 관계를 통한 초기 무단 액세스의 탐지 및 해결에 중점을 둔 운영 보안 제어에 대한 면밀한 검토를 강화해야 합니다. 또한 실시간 보안 인텔리전스를 사용하여 내부 네트워크 및 호스트 기반 원격 분석에서 헌팅을 개선해야 합니다.
주요 판단
2019년 3월 말 작전 공개에 따라 APT33 활동으로 의심되는 도메인은 파킹되거나 새로운 호스팅 제공업체로 변경되었습니다.
APT33 또는 밀접하게 연계된 위협 행위자는 계속해서 C2 도메인을 대량으로 제어하고 있습니다.
- 2019년 3월 28일 이후에만 1,200개 이상의 도메인이 사용되고 있습니다.
- 이 중 728개는 감염된 호스트와 통신하는 것으로 확인되었습니다.
- 728개 도메인 중 575개 도메인이 대부분 공개된 19개의 RAT 중 하나에 감염된 호스트와 통신하는 것이 관찰되었습니다.
APT33 의심 도메인의 거의 60%가 이전에는 APT33 활동과 관련이 없었던 RAT인 njRAT 감염과 관련된 멀웨어 계열로 분류되었습니다. AdwindRAT 및 RevengeRAT와 같은 다른 상용 RAT 멀웨어 제품군도 APT33 도메인 활동으로 의심되는 것과 연결되었습니다.
3월 말 공개 이후 APT33 또는 이와 밀접하게 연계된 위협 행위자가 다음 조직을 표적으로 삼았다고 중간 정도의 확신을 가지고 평가합니다:
- 사우디아라비아에 본사를 둔 대기업으로 엔지니어링 및 건설, 유틸리티, 기술, 소매, 항공, 금융 부문에서 사업을 영위하고 있습니다.
- 사우디의 두 의료 기관
- 금속 산업에 종사하는 사우디 기업
- 인도의 한 매스 미디어 회사
- 외교 기관의 대표단
최근 나스르 연구소와 카보쉬 보안 그룹 간의 연관성에 대한 보고와 기술 및 인물 분석은 APT33, APT35, 머디워터 간에 중복되며, 이는 이란이 사이버 작전을 관리하는 데 활용하는 계층적 구조의 결과일 가능성이 높다고 평가합니다.
배경
APT33은 최소 2013년부터 사이버 스파이 활동을 해온 이란의 국가 지원 위협 행위자입니다. 이들은 일반적으로 상용 멀웨어를 사용하며 피해자를 표적으로 삼기 위해 운영을 확장할 수 있는 광범위한 네트워크 인프라를 보유하고 있습니다. 지금까지 이러한 타깃팅은 항공우주 및 방위 산업과 석유 및 가스 산업에 집중되어 왔으며, 사우디아라비아에 기반을 둔 기업에 중점을 두었습니다. 시만텍의 엘핀 보고서는 엔지니어링, 화학, 연구, 금융, IT 및 의료 부문을 추가로 표적으로 삼고 있다고 밝혔습니다. 레코디드 퓨처의 인식트 그룹은 2017년 10월에 발표된 연구를 시작으로 APT33의 활동을 모니터링해 왔으며, 이를 통해 위협 행위자와 관련된 새로운 인프라, 멀웨어 해시, TTP를 밝혀냈습니다.
위협 분석
2019년 3월 27일, 시만텍은 "엘핀: 사우디아라비아와 미국의 여러 조직을 표적으로 삼는 끈질긴 스파이 그룹"이라는 보고서를 발표했습니다. 이 보고서에는 3년간의 APT33 사이버 스파이 활동 캠페인에 대한 개요가 나와 있습니다. 이 연구에서 제공된 IP 주소와 멀웨어 해시를 사용하여 인싯트 그룹 연구원들은 APT33이 사용한 악성 도메인에 대한 후속 분석을 수행하여 두 가지 사항을 확인했습니다:
- APT33이 활동을 지속했는지 여부, 지속했다면 발표에 대응하여 TTP를 변경했는지 여부
- 공개할 만한 가치가 있는 그룹이 이전에 보고하지 않은 역사적 활동이 있었는지 여부
나스르 연구소 및 카보쉬 리덕스
이전 보고서인 "이란의 해커 계층 구조 노출"에서 파이어아이는 2017년 파이어아이가 이란 해커 커뮤니티의 구성과 동기에 대한 정보와 함께 APT33의 한 계약자인 나스르 연구소가 이란의 국가 지원 공격 사이버 프로그램 내에서 계층화된 구조를 가지고 있다고 결론지은 바 있습니다. 우리는 많은 이란 국가 지원 작전이 이란 혁명수비대(IRGC) 또는 정보보안부(MOIS)의 지시에 의해 이루어지고 있다고 평가했습니다.
이전 연구를 위해 정보를 제공한 민감한 인식트 그룹 소식통에 따르면, 이 조직들은 50개가 넘는 계약 조직의 구획화된 작업을 담당하는 이념적으로 일치하는 중간 수준의 작업 관리자를 고용하여 취약성 연구, 익스플로잇 개발, 정찰, 네트워크 침입 또는 공격 수행과 같은 활동을 수행했다고 합니다. 공격적인 사이버 역량을 개발할 때 이러한 개별 구성 요소는 각각 다른 계약 그룹에 의도적으로 할당되어 중요한 작전의 무결성을 보호하고 IRGC 및/또는 MOIS가 작전 통제권을 유지하고 불량 해커로부터 위험을 완화할 수 있도록 했습니다.
공격적인 캠페인에 이란 정부의 개입을 모호하게 만듭니다.
파이어아이는 또한 2017년 보고서에서 APT33 턴업 백도어 샘플의 PDB 경로에서 발견된 온라인 핸들 'xman_1365_x'가 나스르 연구소의 개인 소유라고 지적했습니다. 그런 다음 동일한 핸들이 뉴스비프 및 스톤드릴 멀웨어 제품군을 사용하여 파괴적인 작업에 연결되었습니다. 그 후 2017년 3월, 연구원들은 스톤드릴을 샤문 2 작전 및 APT35(일명 챠밍키튼, 뉴스캐스터 또는 뉴비프)라는 위협 행위자와 연결시켰습니다.
이전 분석에 따르면 'xman_1365_x' 핸들의 배후는 이란 해킹 포럼에서 마쉬하드(Mashhad)의 마흐디 호나바르(Mahdi Honarvar)라고 스스로 밝혔으며, 2017년경부터 카보쉬 보안 센터에 소속되어 있었다고 추측하고 있습니다.
이란 사이버 생태계에서 카보쉬의 역할은 2006년부터 2014년까지 카보쉬가 '니마 니주'의 고용주였다는 Group-IB의 최근 분석에서 더욱 자세히 밝혀졌습니다. 분석 결과, 2019년 3월 터키 군용 전자제품 제조업체를 겨냥한 캠페인은 이란의 또 다른 위협 행위자인 머디워터(MUDDYWATER)에 의해 저질러졌다고 결론지었습니다. 머디워터는 파워스탯 백도어를 사용했으며, 메타데이터를 통해 작성자가 "Gladiyator_CRK"로 밝혀진 "Nima"라는 이름을 가진 멀독에 확산시켰습니다. 또한 2014년 나스르 연구소에 고용된 것으로 추정되는 개인의 이름과 이메일 주소가 노출된 블로그에서 관련자로 의심되는 이메일 주소인'[email protected]'는 '니마 닉주'로 번역되는 'نیما نیکجو'와 연관되어 있었습니다. "0xffff0800"이라는 필명으로 작성된 또 다른 연구 블로그는 이러한 발견의 일부를 뒷받침하며 "니마 닛주"가 "니마 닛주 타브리지"임을 밝혀냈습니다.
APT33 위협 행위자로 의심되는 니마 니주 타브리지의 LinkedIn 프로필 사진. (2019년 6월 14일에 액세스)
니마 니주 타브리지는 누구인가요?
OSINT는 자신이 시만텍의 리버스 엔지니어이자 멀웨어 분석가라고 주장하는 니마 니주 타브리지의 이름으로 링크드인 계정과 기타 소셜 미디어 계정이 활성화되어 있다고 밝혔습니다. 그러나 시만텍은 레코디드 퓨처에 타브리지가 자신들을 위해 일한 적이 없다고 확인했습니다:
"저희는 이 개인에 대해 오랫동안 알고 있었습니다. 니마 니주는 시만텍 직원이 아니며 이 이름을 가진 개인이 시만텍에서 근무한 기록이 없습니다."
정부 기관인 나스르 연구소와 이란 국가가 후원하는 사이버 스파이 활동과 밀접한 관련이 있는 카보쉬 보안 센터에서 일한 사실이 드러난 만큼, 우리는 타브리지가 이란 국가를 대신해 사이버 스파이 활동을 하고 있다고 높은 확신을 가지고 평가합니다.
APT33 위협 행위자로 의심되는 니마 니주 타브리지의 고용 이력.
이 정보에 따르면, 나스르 연구소가 이란 국가가 후원하는 공격적인 사이버 활동의 전선으로 노출되자 직원들이 신원을 보호하고 추가 노출을 최소화하기 위해 카보쉬와 같은 다른 조직으로 이직했을 가능성이 있습니다. 2017년 마흐디 호나르바르와 카보쉬 보안 센터의 연관성이 밝혀지기 전까지 나스르 연구소와 관련된 추가 노출 사례는 보고되지 않았습니다. 따라서 중복되는 기술 및 개인 정보는 위협 행위자인 APT33, APT35 및 MUDDYWATER 간의 역사적 연관성을 시사하는 것으로 평가합니다.
이란 국가가 사이버 작전을 관리하는 계층적 구조를 고려할 때 이란 위협 행위자들 간의 이러한 기술 및 인물 중복은 예상치 못한 일이 아닙니다. 이러한 구조 내에서 관리자가 여러 팀을 운영하고 있으며, 그 중 일부는 정부 기관과 관련된 팀이고 다른 일부는 계약된 민간 기업(예: ITSec 팀)과 관련된 팀이라고 평가했습니다.
기술 분석
APT33 정리?
인식트 그룹은 시만텍이 문서화한 APT33 지표부터 시작하여 레코디드 퓨처 플랫폼 내 파사이트 시큐리티 확장 기능을 사용하여 그룹이 사용하는 도메인 및 호스팅 인프라를 프로파일링하여 일부 도메인에 대한 업데이트된 IP 해상도를 공개했습니다.
| 도메인 | 원래 IP 해상도(시만텍 보고서 기준) | 업데이트된 IP 해상도 |
|---|---|---|
| backupnet.ddns[.]net | 25.187.21[.]71, 91.230.121[.]143 | 95.183.54[.]119 |
| hyperservice.ddns[.]net | 8.26.21[.]119 | 95.183.54[.]119 |
| microsoftupdated[.]com | 5.187.21[.]70 | 52.45.178[.]122 |
| mynetwork[.]cf | 192.119.15[.]41, 195.20.52[.]172 | 195.20.52[.]172 |
| mypsh.ddns[.]net | 162.250.145[.]204, 162.250.145[.]234, 192.119.15[.]35, 192.119.15[.]37, 64.251.19[.]214, 64.251.19[.]231, 64.251.19[.]232, 8.26.21[.]120, 8.26.21[.]221, 8.26.21[.]222 | 현재 해상도 없음 |
| mypsh.ddns[.]net | 5.79.127[.]177 | 0.0.0[.]0 |
| mywinnetwork.ddns[.]net | 91.235.142[.]76, 91.235.142[.]124, 89.34.237[.]118 | 0.0.0[.]0 |
| remote-server.ddns[.]net | 192.119.15[.]39, 91.230.121[.]143 | 0.0.0[.]0 |
| remserver.ddns[.]net | 217.147.168[.]44, 91.230.121[.]144 | 0.0.0[.]0 |
| 보안업데이트[.]com | 217.13.103[.]46 | 204.11.56[.]48 |
| servhost.hopto[.]org | 37.48.105[.]178 | 95.183.54[.]119, 0.0.0[.]0 |
| service-avant[.]com | 213.252.244[.]14 | 213.252.244[.]144, 51.77.102[.]108 |
| srvhost.servehttp[.]com | 8.26.21[.]117, 64.251.19[.]216 | 95.183.54[.]119 |
| svcexplores[.]com | 8188.165.4[.]81 | - |
| update-sec[.]com | 95.211.191[.]117 | - |
예상대로 원래 시만텍 보고서에 노출된 도메인 중 상당수가 파킹되었거나 더 이상 실제 IPv4 주소로 확인되지 않는 것으로 나타났습니다. 흥미롭게도 원래 도메인 중 4개(backupnet.ddns[.]net, hyperservice.ddns[.]net, servhost.hopto[.]org, 및 srvhost.servehttp[.]com) 는 모두 게시 다음 날 업데이트되었으며, 동일한 IP인 95.183.54[.]119로 확인되었습니다. 이 IP는 스위스 전용 호스팅 제공업체 Solar Communications GmBH에 등록되어 있습니다. 이러한 도메인이 파킹되지 않은 이유는 명확하지 않습니다. 가능한 이유는 다음과 같습니다:
- 해당 도메인은 위협 행위자에 의해 높은 가치가 있는 것으로 간주되어 지속적인 운영 목적으로 유지되었습니다.
- 운영자가 관리상의 이유로 도메인을 업데이트하는 데 어려움을 겪었거나 업데이트할 수 없었습니다.
기록된 미래 인텔리전스 카드™ 마이크로 소프트 업데이트[, 파사이트 보안 확장 프로그램을 사용하여 더욱 강화되었습니다.
추가적인 관련 및 잠재적 악성 인프라를 식별하기 위해 스위스 IP 95.183.54[.]119를 중심으로 2019년 2월 중순 이후 해당 IP로 새롭게 확인된 약 40개의 도메인을 확인했습니다. 일부 도메인에서 RAT 멀웨어 통신을 긍정적으로 식별했습니다.
| 도메인 | IP | 도메인과 통신하는 멀웨어가 관찰됨 |
|---|---|---|
| windowsx.sytes[.]net | 95.183.54[.]119 | 나노코어 |
| hellocookies.ddns[.]net | 95.183.54[.]119 | 나노코어, QuasarRAT 변형 |
| njrat12.ddns[.]net | 95.183.54[.]119 | njRAT |
| trojan1117.hopto[.]org | 95.183.54[.]119 | njRAT |
| wwwgooglecom.sytes[.]net | 95.183.54[.]119 | njRAT |
| newhost.hopto[.]org | 95.183.54[.]119 | njRAT, DarkComet |
| za158155.ddns[.]net | 95.183.54[.]119 | njRAT |
또한 스위스 IP로 확인된 도메인 중 상당수는 XTreme RAT, xtreme.hopto[.]org와 같이 상품 RAT의 이름을 반영하는 호스트 네임으로 등록되었습니다, 및 njRAT( njrat12.ddns[.]net), Netcat(n3tc4t.hopto[.]com)과 같은 인기 도구도 사용할 수 있습니다. 흥미롭게도 인기 있는 페르시아어 텔레그램 채널을 스푸핑하는 도메인인 BistBots (bistbotsproxies.ddns[.]net)가 발견되었습니다. 도 같은 IP에서 공동 호스팅되었습니다. 이는 이란에서 네트워크 필터링을 우회하고 페이스북, 트위터, 유튜브와 같은 사이트에 접속하기 위해 최신 고속 인터넷 프록시를 찾는 비스트봇 사용자를 노린 것으로 추정됩니다.
위의 도메인에 대한 추가 분석(windowsx.sytes[.]net 포함), njrat12.ddns[.]net, 및 wwwgooglecom.sytes[.]net 에 기록된 미래 인텔리전스 카드(™)에 따르면 나노코어와 njRAT에 대해 C2로 분류된 것으로 나타났습니다. 자세한 정보는 멀웨어 멀티스캐너 저장소의 해시 보고서와 도메인에 대한 직접적인 참조가 포함된 멀웨어 탐지 결과에서 파생된 상관 관계입니다.
흥미로운 점은 시만텍의 연구 결과에서 APT33의 나노코어 사용은 언급되었지만 njRAT은 언급되지 않았으며, 이는 이 그룹의 계속 확장되고 있는 상용 멀웨어 레퍼토리에 이전에 알려지지 않은 새로운 멀웨어가 추가되었음을 의미합니다.
기록된 미래 인텔리전스 카드의 컨텍스트 패널(™ for windowsx.sytes[.]net), 도메인과 나노코어 RAT 멀웨어 간의 관계를 보여줍니다.
아래 Maltego 차트는 스위스 IP에서 호스팅되는 선택된 도메인의 링크 분석과 멀웨어 패밀리 이름과 연관된 파생 해시를 보여줍니다.
알려진 악성 APT33 연결 IP에서 호스팅되는 도메인의 Maltego 그래프.
더 심층적인 인프라 상관관계
인식트 그룹은 2019년 1월 이후 APT33이 사용하는 것으로 보고된 모든 도메인을 열거했습니다. 저희는 패시브 DNS 및 유사한 접근 방식을 사용하는 일반적인 인프라 호스팅 패턴을 통해 APT33으로 의심되는 인프라를 추가로 식별했습니다.
예비 분석 결과 시만텍이 문서화한 캠페인의 배후에 있는 동일한 APT33 공격자가 관리하는 것으로 보이는 1,252개의 고유하고 상호 연관된 도메인을 확인했습니다. 이 중 728개의 도메인이 감염된 호스트의 파일과 통신하는 것으로 확인되었으며, 이 중 575개 도메인은 RAT 멀웨어 제품군과 긍정적인 상관관계가 있는 것으로 나타났습니다. 나머지 153개 도메인은 AV 엔진 히트를 기반으로 악성 도메인으로 식별되었지만 특정 멀웨어 계열로 자동 분류할 수는 없었습니다.
편집자 주: APT33 의심 도메인에 연결된 일부 도메인, 해시 및 관련 IP 주소 인프라는 곧 '무기화된 도메인'이라는 특수 인증 데이터 세트에서 Recorded Future 고객에게 제공될 예정이며, 이를 통해 기업은 동적 DNS(DDNS) 도메인을 비롯한 악성 무료/익명 인프라와의 상호 작용을 규제할 수 있습니다.
APT33 멀웨어 사용으로 의심되는 파이 차트.
2019년 3월 28일 이후 이러한 의심되는 APT33 도메인과 연결된 멀웨어 제품군의 최상위 활동을 분석한 결과, 도메인의 60%가 njRAT 멀웨어를 사용하며 다른 다양한 상용 툴이 사용되고 있는 것으로 나타났습니다. 총 1,804개의 고유 멀웨어 해시를 분석하여 아래 나열된 19개의 멀웨어 군으로 분류했습니다.
| 멀웨어 제품군 | 백분율(%) |
|---|---|
| NJRat | 59.99 |
| 알 수 없음 | 25.35 |
| RevengeRAT | 4.40 |
| 나노코어랫 | 3.96 |
| 다크코멧 | 1.74 |
| SpyNet | 0.87 |
| RemcosRAT | 0.76 |
| XtremeRAT | 0.60 |
| 임박한 모니터 | 0.43 |
| NetWireRAT | 0.33 |
| Orcus | 0.33 |
| QuasarRAT | 0.27 |
| 888RAT | 0.22 |
| qRat | 0.22 |
| Adwind | 0.16 |
| 산드로랫 | 0.11 |
| 플라즈마랫 | 0.11 |
| AsyncRAT | 0.05 |
| BitterRat | 0.05 |
| 스톤드릴 | 0.05 |
표와 첨부된 차트에서 APT33 또는 이와 밀접하게 연계된 위협 행위자가 상용 멀웨어와 공개적으로 사용 가능한 툴을 지속적으로 많이 사용하고 있으며, 이전에 보고되지 않았던 여러 멀웨어 제품군이 추가되었으며, 여기에는 njRAT, RevengeRAT 및 AdwindRAT이 포함됩니다. 샘플의 상당수(25%)는 악성으로 간주되었지만, 추가 수동 정적 분석이 필요할 만큼 높은 신뢰도로 명확하게 분류할 수 없는 일반 코드가 포함되어 있었습니다. 후속 분석에서는 이러한 샘플을 계속 면밀히 분석할 예정입니다.
발견된 도메인 중 상당수는 마이크로소프트, 구글과 같은 글로벌 기술 제공업체는 물론 화상 회의 제공업체 줌과 같은 비즈니스 중심의 웹 기반 서비스도 스푸핑된 것으로 나타났습니다. 지정학적으로 테마가 있는 도메인도 이 APT33 의심 인프라 목록에 포함되었습니다(예: vichtorio-israeli.zapto[.]org). (이스라엘에 대한 승리), fucksaudi.ddns[.]com 및 palestine.loginto[.]me. 호스트 이름을 선택하면 이란의 적으로 인식되는 이스라엘, 사우디아라비아, 더 넓은 걸프협력회의 (GCC) 국가들을 대상으로 한 APT33의 공격 패턴에 대한 통찰력을 얻을 수 있습니다.
| 도메인 | 멀웨어 제품군 | SHA256 |
|---|---|---|
| fucksaudi.ddns[.]net | RevengeRAT | d8e60135aecb3a2a7422c06cfb94ed9aaf1182145d1c482f84b0bd81aa5d2416 |
| googlechromehost.ddns[.]net | 나노코어랫 | e2cfc91085b9b5db41c4c4297c594758dd9a0c8561ce4544da9faedd3a6b91e8 |
| backupnet.ddns[.]net | 스톤드릴 | a217eb149b65552e3127c65c306aa521dca54959ceee89e85dd2e6e38c0d8f8b |
| younesadams.ddns[.]net | 산드로랫 | 410b5f374059cc21b2c738a71957c97e4183d92580d1d48df887deece6d2f663 |
| teamnj.ddns[.]net | 다크코멧 | e144db21cc5f8f57aa748c0a8e4008fc34f8dd831eb2442eb35961e4cdf41f22 |
의심되는 APT33 악성 도메인과 연관된 해시 선택. 레코디드 퓨처 클라이언트는 API 다운로드를 통해 인증 데이터 세트의 전체 도메인 목록에 액세스할 수 있습니다.
대상 조직
인싯트 그룹 연구원들은 기록된 미래 도메인 분석의 데이터를 사용하고 기록된 미래 네트워크 트래픽 분석에서 파생된 데이터와 결합하여 APT33 의심 활동의 영향을 받은 것으로 보이는 일부 표적 조직을 식별할 수 있었습니다.
| 대상 조직 | 분야(들) | 운영 국가 | 관찰된 활동 날짜 | 의심되는 APT33 C2 IP |
|---|---|---|---|---|
| 조직 1 | 엔지니어링 및 건설, 수도 및 전기, 기술, 소매, 금융 | 사우디아라비아, 아랍에미리트, 이집트, 터키, 크로아티아 | 2019년 5월 2일 - 6월 3일 | 134.3.20[.]151 |
| 조직 2 | 매스 미디어 | 인도 | 2019년 5월 4일 - 6월 1일 | 134.3.20[.]151 |
| 조직 3 | 외교 | 부르키나파소 | 2019년 5월 2일 | 134.3.20[.]151 |
| 조직 4 및 5 | 의료 | 사우디 아라비아 | 2019년 5월 2일 - 5월 8일 | 41.103.3[.]7, 46.249.47[.]193 |
| 조직 6 | 산업 | 사우디 아라비아 | 2019년 5월 25일 - 6월 3일 | 62.113.171[.]186 |
전망
올해 초 시만텍에 의해 광범위한 인프라 및 운영이 노출된 이후, APT33 또는 이와 밀접하게 연계된 공격자들이 도메인 인프라 일부를 파킹하거나 재할당하는 방식으로 대응한 것을 발견했습니다. 이 활동이 보도가 나간 지 불과 하루 정도 만에 실행되었다는 사실은 이란의 위협 행위자들이 자신들의 활동에 대한 언론 보도를 예민하게 인식하고 있으며, 신속하게 대응할 수 있을 만큼 수완이 뛰어나다는 것을 시사합니다.
3월 말부터 APT33 위협 행위자로 의심되는 공격자들은 1,200개가 훨씬 넘는 대규모 운영 인프라를 계속 사용하고 있으며, 많은 공격자들이 19개의 다른 상용 RAT 임플란트와 통신하는 것이 관찰되었습니다. 흥미로운 점은 APT33으로 의심되는 인프라의 절반 이상이 njRAT 배포와 연결되어 있다는 점으로, njRAT에 대한 선호도가 높아진 것으로 보입니다.
이전에 문서화된 APT33 작전처럼 상업 단체나 지역 적대 세력을 광범위하게 표적으로 삼는 것은 관찰되지 않았지만, 관찰된 소수의 표적 조직은 주로 다양한 산업 분야에 걸쳐 사우디아라비아에 위치해 지정학적 목표에 따른 표적 공격이 지속되고 있음을 나타냅니다. 이번 연구에서 발견된 대량의 인프라는 현재 진행 중인 광범위한 작전 활동 또는 향후 사이버 스파이 활동을 위한 토대를 마련하고 있음을 시사하는 것으로 평가합니다. 아래 '네트워크 방어 권장 사항' 섹션의 지침에 따라 조직이 네트워크를 모니터링하여 APT33 활동으로 의심되는 증거가 있는지 확인하는 조치를 취할 것을 권장합니다.
마지막으로, 레코디드 퓨처 고객에게 추천하는 것은 곧 출시될 '무기화된 도메인' 인증 데이터 세트를 사용하는 것입니다. 이 데이터 세트는 악성 APT 인프라를 식별하는 데 도움이 되는 예측 분석을 통해 도출된 것입니다. 이는 보안 팀이 충실도가 높은 악성 지표를 대규모로 추적, 탐지 및 차단할 수 있는 역량을 강화하기 위한 것입니다.
네트워크 방어 권장 사항
레코디드 퓨처는 APT33으로 의심되는 활동을 탐지하고 완화하기 위해 조직이 다음과 같은 조치를 취할 것을 권장합니다:
- 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
- 이전 블로그에서 고객만 이용할 수 있는 APT33에 대해 자세히 설명한 것처럼, 동적 DNS(DDNS)는 보안 제어 구현과 관련된 운영상의 걸림돌로 작용하고 있습니다. DDNS 하위 도메인과 관련된 모든 TCP/UDP 네트워크 트래픽을 차단하고 기록해야 합니다( DNS RPZ 또는 이와 유사한 것을 사용).
- 부록 B에 나열된 새로운 규칙에 대해 기업 전체에서 정기적으로 Yara 스캔을 수행하세요.
관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.
관련