2022년은 SentinelLabs의 연구팀에 다시 한번 파란이 풍부한 해였습니다. 그리고 우크라이나의 사건에 대한 연구 성과가 대부분을 차지하게 되었습니다. 또한 사상 최초의 LABScon 이벤트를 주최하고, 업계 전체로부터 일류의 연구자와 소트 리더를 모아, 많은 공급망 공격, 적대자, macOS, Linux, Windows 맬웨어와, 악용 가능한 취약성을 조사하는 기회 만들 수있었습니다.
랜섬웨어 TTP는 변화를 겪고 있으며 하이브리드 암호화 및 부분 암호화 사용이 증가하고 공격자의 몸값 데이터의 절취와 경우에 따라 파일 로커 사용에 중점을두고 있습니다. 합니다.
SentinelLabs의 홈페이지(영문)에는 모든 조사 결과와 위협 인텔리전스가 블로그에 공개되어 있습니다만, 본 블로그에서는 2022년의 주요 하이라이트를 월별로 간략하게 요약해 나갈 것입니다.
1월
1월에는 이란과 관련된 위협 행위자인 MuddyWater에 속하는 PowGoop 맬웨어의 새로운 변종을 확인할 수 있었습니다. 이 공격자가 터널링 도구를 사용하여 Exchange 서버에서 CVE-2020-0688을 악용하여 중동 정부 기관을 침해했을 수 있음을 설명합니다. 다른 많은 이란의 위협 행위자와 마찬가지로이 그룹은 다른 국가에서 지원하는 APT 그룹에 비해 정교함과 기술적 복잡성이 열등하지만 공개 된 공격적인 보안 도구를 사용하고 패치가 적용되지 않은 취약점을 악용하여 성공을 거두었습니다.
1 월에는 SentinelLabs가 macOS 애드웨어 감염 위협 사냥, 최근 험티 비스트 캠페인, BlackCat 랜섬웨어 분석 및 CVE-2021-45608 (수백만 개의 라우터에 영향을 미치는 NetUSB 결함)에 대한 조사도 게시했습니다. 했다.
2월
2022년 2월 러시아 우크라이나 침공은 세계에 큰 영향을 미쳤습니다. 지금도 영향을 주고 있는 사건이 되고 있습니다. 러시아 캠페인은 빠르고 결정적이었고, 마찬가지로 파괴적인 사이버 전쟁 캠페인을 수반 할 것으로 널리 예상되었습니다. 그러나 그 기대가 올바르지 않다는 것이 밝혀졌다. 우크라이나인의 결의는 러시아인과 많은 옵저버 모두를 놀라게 했지만, 전쟁과 관련된 사이버 캠페인에는 예기치 않은 측면도 있었습니다. 2월에 처음 발견된 것은 SentinelLabs가 Hermetic Wiper라는 이름의 새로운 파괴적인 와이퍼였습니다. 이것은 우크라이나 조직의 Windows 장치를 대상으로 하는 서명된 드라이버입니다.
SentinelLabs는 또한 ModifiedElephant로 명명된 10년 전에 국가가 후원했던 적대자를 폭로했습니다. 이 적대자는 인도의 인권 활동가, 변호사, 학자 및 민간 반대 의견에 관여하는 다른 사람들을 표적으로 삼았다. ModifiedElephant의 목적은 장기적인 모니터링이며, 경우에 따라 “증거”(특정 범죄로 표적을 유죄로 간주하는 파일)를 배포 한 다음 궁극적으로 편리한 방식으로 체포함으로써 끝납니다. 합니다.
SentinelLabs는 또한 이란의 위협 행위자인 TunnelVision이 중동 및 미국 대상에 Log4j2 및 기타 취약점을 악용하고 있다고 보고했습니다.
3월
우크라이나에서의 전쟁이 가속됨에 따라 사이버 공격도 마찬가지로 증가했습니다. WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper 및 DoubleZero는 모두 업계 전반에 걸쳐 보고되었지만 AcidRain에서는 새로운 배포가 나타났습니다. 위성 연결을 방해하여 우크라이나군의 지휘 통제 능력을 빼앗으려는 시도가 파급되고, Viatsat 모뎀에의 공격에 의해 중단된 약 6,000대의 에너지 풍력 터빈의 원격 감시와 제어에 의해, 독일의 인프라에 영향을 주었습니다.
우크라이나를 표적으로 한 것은 러시아인만이 아닌 것으로 밝혀졌습니다. 3 월 SentinelLabs는 중국 위협 액터 Scarab APT가 우크라이나의 조직이 HeaderTip 악성 코드를 감염시키고 있다고보고했습니다. 반면에 SentinelLabs는 Microsoft Azure의 IoT Defender에서 인증되지 않은 공격자가 장치를 원격으로 침해할 수 있는 심각한 심각한 결함을 밝혀냈습니다.
4월
4 월 SentinelLabs의 초점은 클라임웨어에 초점을 맞추고 LockBit 3.0에 대한 조사에서 공격자가 서명 된 VMware xfer 로그 명령 줄 유틸리티를 통해 Cobalt Strike 비콘을 사이드로드하고 있음을 밝혔습니다. 그런 다음이 기술은 이전에 LockBit을 사용하는 것으로 알려지지 않은 위협 액터 인 Microsoft가 DEV-0401로 추적하는 제휴사와 관련이 있음을 발견했습니다.
SentinelLabs는 4월에 Nokoyama ransomware에 대해서도 공개했으며, 이전 분석에서 제안한 바와 같이, 이것은 분명히 Hive가 아니라 Karma/Nemty의 진화 형태임을 발견했습니다.
5월
공유 코드 리포지토리를 통한 공급망 공격은 5월의 특징이었습니다. SentinelLabs는 Rust 개발 커뮤니티에 대한 공급망 공격인 CrateDepression에 대해 보고했습니다. 이는 GitLab 지속적 통합(CI) 파이프라인을 사용하여 피해자를 대상으로 하는 악의적인 크레이트의 발견에 대해 발표한 Rust Security Response Working Group의 권고에 이어집니다. 감염된 CI 파이프라인은 레드 팀 프레임워크인 Mythic을 기반으로 구축된 Go 바이너리로 식별된 2단계 페이로드를 제공했습니다. 공격자는 macOS와 Linux 페이로드를 모두 사용할 수 있었습니다.
또한 5월에는 타이포 스쿼팅 캠페인에서 악의적인 Python 패키지를 사용하여 PyPI를 타겟팅하는 위협 액터가 나타났습니다. macOS 페이로드가 2021년에 OSX.Zuru와 유사한 난독화 기법을 사용하여 감염된 장치에 Cobalt Strike 비콘을 투하했음을 확인했습니다.
6월
2022년 6월, SentinelLabs의 연구는 중국과 관련된 위협 활동에 중점을 둡니다. 조사 결과, Aoqin Dragon이라는 새롭게 발견된 APT가 동남아시아와 호주 정부, 교육 및 통신 조직을 10년 이상 은밀하게 간첩해 온 것으로 나타났습니다.
위협 액터는 포르노를 주제로 한 문서 루어를 사용하여 사용자를 감염시켰습니다. 네.
7월
7 월 SentinelLabs의 조사는 중국 정부가 지원하는 사이버 스파이 그룹이 우크라이나 전쟁 중에 러시아의 표적을 조준했다는 것을 발견했습니다.
또한 APPX 및 MISIX 패키지로 만들어진 악의적인 Windows 응용 프로그램이 공격자가 Office 매크로의 대체 감염 벡터로 어떻게 사용되는지 조사했습니다. LockBit 3.0은 많은 기업들에게 심각한 위협이었고 SentinelLab은 LockBit의 최신 분석 방지 및 회피 기술에 대한 새로운 연구를 발표했습니다.
8월
SentinelLabs는 Microsoft가 발표한 Office 매크로의 잠금에 비추어 대체 벡터에 대한 조사를 진행했으며 Windows 바로 가기 LNK 파일이 공격자에 의해 어떻게 악용되는지에 대해 공개했습니다. 이 상세한 조사는 27,000개가 넘는 악성 LNK 파일 샘플의 분석을 기반으로 합니다.
공격자가 LNK 파일을 통해 맬웨어를 실행하는 데 사용하는 LOLBin 세트 중 Windows 탐색기가 최상위 LOLBin(Living Off the Land 바이너리)임을 발견했습니다.
9월
9월은 LABScon이 개최된 달이었고, 당연히 SentinelLabs의 연구팀으로부터 몇 가지 큰 발표가 있었습니다. 첫 번째는 SentinelLabs가 중동과 아프리카의 여러 국가에서 텔레콤 기업과 인터넷 서비스 제공 업체와 대학을 대상으로하는 것을 발견 한 수수께끼의 위협 행위자 인 Metador입니다.
또한 미국, 러시아, 우크라이나 및 기타 국가를 대상으로 2022년에 해킹 캠페인을 실행하는 사이버 용병 그룹 Void Balaur에 대한 조사도 발표했습니다. SentinelLabs는 또한 “JuiceStealer”라는 어셈블리를 통한 정보 절취에 중점을 둔 비교적 새로운 위협 행위자 인 JuiceLedger.NET과 PyPI 기여자에 대한 피싱 캠페인에 대해보고했습니다.
10월
10월에는 WIP19로 추적하는 새로운 위협 클러스터에 대한 조사가 중국과 관련된 APT에 초점을 맞춘 조사로 돌아왔습니다.
WIP19는 DEEPSoft라는 회사가 서명한 디지털 인증서를 훔치고 중동, 아시아 통신 및 IT 서비스 제공업체를 대상으로 합니다. 이 활동은 위협 액터가 수행하는 거의 모든 작업이 “핸즈온 키보드”방식으로 수행되었다는 사실에 주목할 가치가 있습니다. 공격자는 스텔스성을 높이는 대신 C2 채널을 사용했습니다.
11월
축제와 휴일 시즌이 다가오기 시작하면 SentinelOne Lab의 초점이 다시 클라임웨어 액터로 향하게 되었습니다. 이러한 액터는 일반적으로 1년 말을 향해 활동을 강화합니다. SocGholish에 대한 우리의 조사는 공격자가 새로운 서버를 사용하여 악성코드를 스테이징하기 위한 인프라를 크게 다양화하고 확장한 것으로 나타났습니다. 대부분은 유럽에 있었고 네덜란드, 영국, 프랑스가 목록 상단에있었습니다.
또한 Black Basta 랜섬웨어에 대해서도 다루었고, 그 도구와 사이버 범죄 집단 FIN7에 대한 링크를 먼저 지적했습니다. LABScon에 참여할 수 없었던 사람들을 위해 메인 스테이지에서 진행된 여러 프레젠테이션에 대한 일련의 게시물을 시작했습니다.
12월
SentinelLabs는 연초와 마찬가지로 연말에도 바쁘다. 12월에는 클라임웨어 그룹 Vice Society에 대한 설문조사를 발표했으며, 이 그룹이 ‘PolyVice’라는 이름의 고객 브랜드 랜섬웨어 변종을 사용하게 된 방법을 밝혔습니다.
또한 Metador의 백도어 중 하나 인 Mafalda에서 사용되는 안티 분석 기술을 조사하여 Metador를 더욱 깊이 파고 들었습니다. 업계 파트너와 협력하여 통신, BPO, MSSP 및 금융 서비스 비즈니스에 적극적으로 침입하는 데 사용되는 POORTRY 및 STONESTOP 맬웨어에 대해 공개했습니다.
SentinelOne은 사이버 보안에서 AI와 머신 러닝 사용의 초기 선구자였지만 OpenAI가 ChatGPT 3를 출시함에 따라이 기술은 일반인의 의식에 큰 영향을 미쳤습니다. 시간을 찾아서 맬웨어 분석 및 리버스 엔지니어링 작업을 위한 이 AI 도구의 훌륭함에 대해 보고했습니다. 물론 올해의 마무리로서 사이버 보안의 세계 사람들이 즐겁게 배울 수 있도록 LABScon의 강연을 더욱 널리 공유했습니다.
요약
SentinelLabs는 2022년에 걸쳐 클라임웨어 생태계, 적대자, APT, 악성코드 캠페인 및 심각한 취약점에 대한 최신 개발 상황에 대해 방어자에게 정보를 계속 제공해 왔습니다.
2023년에는 더 많은 보안 연구, 위협 인텔리전스 및 취약성 보고서를 제공할 예정입니다. 2023년이 행복하고, 안전하며, 평화롭기를 바랍니다. SentinelLabs 연구원과 SentinelOne 오피니언 리더의 2023년 사이버 보안 예측은 여기에서 확인할 수 있습니다.