2019년 말, 유럽 에너지 부문 조직이 퓨피랫 멀웨어의 표적이 되었습니다.

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서는 인식트 그룹 연구진이 개발한 시그니처를 사용하여 탐지한 RAT 컨트롤러에 대한 독점적인 Recorded Future 네트워크 트래픽 분석을 기반으로 합니다. 분석 기간은 2019년 11월 28일부터 2020년 1월 5일까지입니다.

이 보고서는 주로 이란의 국가적 위협 행위자들이 사용하는 멀웨어와 관련된 위협 추적 임무를 수행하는 에너지 부문 조직의 SOC 분석가 및 위협 인텔리전스 전문가들이 관심을 가질 것입니다.

지난 한 해 동안 레코디드 퓨처의 연구에 따르면 APT33(엘핀이라고도 함)을 포함한 이란 연계 그룹이 2019년 한 해 동안 운영 네트워크 인프라를 축적하는 데 많은 노력을 기울인 것으로 나타났습니다. 또한 2019년 11월, Microsoft는 APT33이 IT 네트워크 공격에서 전기 유틸리티, 제조 및 정유 공장에서 사용되는 물리적 제어 시스템으로 초점을 전환했다고 공개했습니다. 또한, 국가가 후원하는 이란-넥서스 그룹이 무료로 제공되는 상용 멀웨어를 적극적으로 네트워크 침입에 사용하는 것을 문서화했습니다. 이러한 도구는 일반적으로 방어적인 레드팀 연습에 사용하기 위한 것입니다. 이란과 연계된 여러 그룹이 사용하는 도구 중 하나는 PupyRAT입니다.

인식트 그룹은 레코디드 퓨처 원격 액세스 트로이목마(RAT) 컨트롤러 탐지 및 네트워크 트래픽 분석 기술을 사용하여 2019년 11월 말부터 최소 2020년 1월 5일까지 유럽 에너지 부문 조직의 메일 서버와 통신하는 PupyRAT 명령 및 제어(C2) 서버를 확인했습니다. 메타데이터만으로는 침입을 확인할 수 없지만, 표적이 된 메일 서버에서 PupyRAT C2로의 대량의 반복적인 통신은 침입 가능성을 나타내는 데 충분하다고 평가합니다.

PupyRAT는 깃허브에서 사용할 수 있는 오픈 소스 RAT로, 개발자에 따르면 "주로 파이썬으로 작성된 크로스 플랫폼, 다기능 RAT 및 사후 익스플로잇 도구"라고 합니다. 이전에 이란 그룹 APT33 (Elfin, Magic Hound, HOLMIUM)과 COBALT GYPSY (APT34/OilRig와 중복)가 사용한 적이 있습니다.

이란의 위협 행위자 그룹인 APT33과 COBALT GYPSY가 이 상품 RAT인 PupyRAT을 사용한 것으로 알려져 있지만, 저희가 확인한 PupyRAT 컨트롤러가 이란의 어느 그룹이 사용하는지는 확인할 수 없습니다. 공격자가 누구든, 고부가가치 중요 인프라 조직의 메일 서버를 표적으로 삼으면 공격자는 유럽의 에너지 할당 및 자원에 관한 민감한 정보에 액세스할 수 있습니다.

유럽 에너지 부문의 핵심 기관을 표적으로 삼은 것은 유럽 에너지 자원 조정에서 이들의 역할을 고려할 때 특히 흥미롭습니다. 이란 그룹(및 기타)은 미국과 유럽의 다양한 산업을 표적으로 삼았으며, 최근 보고에 따르면 에너지 부문의 산업 제어 소프트웨어에 대한 표적 공격이 증가하고 있는 것으로 나타났습니다.

이 활동은 최근 미국과 이란 간의 군사적 활동이 고조되기 이전부터 진행되었으며, 따라서 스파이 활동에 의한 침입 활동 또는 유럽 에너지 부문의 고가치 네트워크 내 네트워크 접근 권한 선점과 관련이 있을 가능성이 높다는 점을 강조합니다.

레코디드 퓨처는 PupyRAT와 같은 상용 RAT를 방어하기 위해 조직에 다음과 같은 조치를 취할 것을 권장합니다:

• 동일한 IP에서 다른 계정에 대해 순차적으로 로그인 시도가 있는지 모니터링합니다. 이러한 유형의 활동은 기존의 무차별 대입보다 탐지하기가 더 어렵지만 사이버 공격자가 선호하는 전술로부터 조직을 보호하는 데 도움이 됩니다.
• 다단계 인증을 도입하세요. 이는 역사적으로 높은 수준의 크리덴셜 스터핑 및 비밀번호 스프레이 공격을 경험한 많은 조직에서 매우 효과적인 방어 방법임이 입증되었습니다.
• 비밀번호 관리자를 사용하여 각 온라인 계정에 고유한 강력한 비밀번호를 설정하세요.
• 로그 데이터를 분석하고 상호 참조하세요. 이는 빈번한 잠금, 승인되지 않은 원격 액세스 시도, 여러 사용자 계정에서 시간적 공격이 겹치는 경우, 지문 고유 웹 브라우저 에이전트 정보와 관련된 사고를 탐지하는 데 도움이 될 수 있습니다.