다중 라이센스 할인 견적
컴퓨터 보안 러시아 조개 블리자드 해커, 중요 인프라 타겟 침해, Microsoft 경고

러시아 조개 블리자드 해커, 중요 인프라 타겟 침해, Microsoft 경고

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

Seashell Blizzard 라는 러시아와 연계된 위험한 해킹 그룹이 전 세계적으로 중요한 인프라에 대한 공격을 강화하면서 장기적인 사이버 스파이 활동과 파괴적인 작전에 대한 우려가 커지고 있습니다. Microsoft의 최근 경고에 따르면, 이 그룹은 고가 시스템에 침투할 뿐만 아니라 손상된 네트워크에 대한 장기적인 통제를 유지하기 위해 깊이 파고들고 있습니다.

Seashell Blizzard는 악명 높은 러시아 위협 행위자입니다.

Seashell Blizzard는 APT44, BlackEnergy Lite, Sandworm, Telebots, Voodoo Bear로도 추적되며, 적어도 2009년부터 심각한 사이버 위협이었습니다. 이 그룹은 러시아 군사 정보 기관인 GRU(특히 Unit 74455)에서 운영되는 것으로 널리 알려져 있습니다. Seashell Blizzard는 2017년에 글로벌 기업을 마비시킨 악명 높은 NotPetya 랜섬웨어와 2015년에 우크라이나의 중요 시스템을 표적으로 삼은 KillDisk 맬웨어를 포함한 파괴적인 공격으로 악명이 높습니다.

수년에 걸쳐 Seashell Blizzard는 다음과 같은 중요 인프라 부문을 표적으로 삼았습니다.

  • 에너지
  • 상수도
  • 정부 기관
  • 군사 네트워크
  • 통신
  • 운송
  • 조작

이런 공격은 무작위적인 것이 아닙니다. 이는 러시아의 군사적 목표, 특히 우크라이나에서의 목표와 밀접하게 연관되어 있습니다. 우크라이나에서의 사이버전은 러시아의 더 광범위한 갈등 전략의 핵심 요소였습니다.

지속적인 액세스에 초점을 맞춘 새로운 하위 그룹

Microsoft의 최신 보고서는 Seashell Blizzard 내에서 최소 4년 동안 레이더 아래에서 활동해 온 하위 그룹의 출현을 강조합니다. 이 하위 그룹은 취약한 시스템에 대한 초기 액세스 권한을 얻고 장기적인 지속성을 확립하는 중요한 임무에 전념합니다. 이를 통해 해커는 수개월 또는 수년 동안 손상된 시스템을 제어하여 언제든지 파괴적인 공격을 시작할 준비가 됩니다.

BadPilot 캠페인 이라 불리는 이 노력은 2021년부터 진행되어 왔으며, 더 광범위한 네트워크 침해를 용이하게 하기 위해 가치가 높은 대상에 침투하는 데 중점을 두고 있습니다. 이 하위 그룹의 방법은 은밀하고 매우 기회주의적이며 널리 사용되는 소프트웨어와 인터넷 연결 시스템의 취약성에 의존한다고 설명됩니다.

알려진 취약점 악용

공격자는 다음을 포함하여 널리 사용되는 시스템의 잘 알려진 보안 결함을 악용하고 있습니다.

  • 커넥트와이즈 스크린커넥트(CVE-2024-1709)
  • 포티넷 포티클라이언트 EMS(CVE-2023-48788)
  • 마이크로소프트 익스체인지(CVE-2021-34473)
  • 짐브라 협업 스위트(CVE-2022-41352)
  • OpenFire 채팅 서버(CVE-2023-32315)
  • TeamCity 빌드 서버(CVE-2023-42793)
  • 마이크로소프트 아웃룩(CVE-2023-23397)
  • JBOSS 서버(지정되지 않은 CVE)

해커들은 공격적인 "스프레이 앤 프레이" 접근 방식을 사용하여 취약한 시스템을 인터넷에서 스캔하고 대량으로 공격합니다. 일단 침투하면 웹 셸과 원격 모니터링 및 관리(RMM) 소프트웨어와 같은 도구를 사용하여 침투하여 손상된 시스템에 대한 장기적인 제어를 보장합니다.

통제를 유지하기 위해 사용되는 놀라운 기술

시스템이 손상되면 하위 그룹은 여러 가지 지속성 기술을 배포합니다.

  • 웹 셸 배포: 원격 제어를 위한 백도어 액세스 제공.
  • RMM 도구: 은밀한 접근과 추가적인 악성 소프트웨어 배포를 허용합니다.
  • 자격 증명 수집: OWA 로그인 페이지와 DNS 설정을 수정하여 사용자 자격 증명을 훔칩니다.
  • 자바스크립트 주입: 로그인 포털에 악성 코드를 추가하여 사용자 이름과 비밀번호를 수집합니다.

    • 여러 사례에서 이러한 지속적인 접근은 파괴적인 공격에 선행되었으며, 이는 해커가 러시아의 군사적 및 지정학적 필요에 따라 간첩 활동과 방해 행위라는 이중 목적의 역량을 유지하고 있음을 시사합니다.

    글로벌 확장: 미국과 영국이 이제 조준선에 들어감

    우크라이나가 Seashell Blizzard의 사이버 작전의 주요 초점이었지만, Microsoft의 보고서에 따르면 이 하위 그룹은 2023년에 미국과 영국의 조직을 표적으로 삼아 영향력을 확대했습니다. 이 확장은 러시아의 사이버 전쟁 플레이북이 서방 국가를 포함하도록 범위를 확대하고 있다는 것을 시사하는 위험한 변화를 예고합니다.

    지속적이고 확대되는 위협

    Microsoft는 이 하위 그룹이 속도를 늦추지 않을 것이라고 경고합니다. 사실, 전 세계 네트워크에 침투하기 위해 혁신적인 기술을 계속 발전시키고 배포할 가능성이 높습니다. 우크라이나에서 러시아의 지속적인 전쟁과 고조되는 지정학적 긴장으로 인해 중요한 인프라에 대한 사이버 공격이 파괴적인 현실 세계의 결과로 확대될 수 있습니다.

    Seashell Blizzard로부터 조직을 보호하세요

    중요 부문의 조직은 이 지속적인 위협에 대항하기 위해 즉각적인 조치를 취해야 합니다.

    • 알려진 취약점에 대한 패치: ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire 및 기타 대상 소프트웨어를 실행하는 시스템이 완전히 업데이트되었는지 확인하세요.
    • 네트워크 보안 강화: 다중 요소 인증(MFA)을 구축하고, 중요한 시스템에 대한 액세스를 제한하며, 비정상적인 활동을 모니터링합니다.
    • 지속성 모니터링: 정기적인 보안 감사를 수행하여 승인되지 않은 웹셸, RMM 도구, 로그인 페이지 및 DNS 구성에 대한 수정 사항을 감지합니다.
    • 사고 대응 준비: 포괄적인 대응 계획을 개발하고 백업이 안전하고 정기적으로 테스트되도록 하여 잠재적인 방해 공격에 대비하세요.

    최종 경고

    Seashell Blizzard와 그 초기 접근 하위 그룹은 전 세계적으로 중요한 인프라에 대한 명확하고 현재의 위험을 나타냅니다. 지속적인 접근에 대한 그들의 끊임없는 추구는 에너지 그리드, 물 공급, 운송 시스템 및 정부 운영을 방해할 수 있는 대규모 사이버 방해의 전조가 될 수 있습니다. Microsoft의 최신 조사 결과는 냉엄한 경고입니다. 다음 주요 사이버 공격은 이미 중요한 시스템 내부에 숨어서 신호가 공격되기를 기다리고 있을 수 있습니다.


    로드 중...