|
CISA, 원격 데스크톱 도구 사용한 해킹 경고 분석팀 2023.01.26 |
|
|
CISA, NSA 및 MS-ISAC은 오늘 합동 권고를 통해 공격자들이 악의적인 목적으로 합법적인 원격 모니터링 및 관리(RMM) 소프트웨어를 점점 더 많이 사용하고 있다고 경고했다.
우려되는 것은 CISA는 2022년 10월 중순에 Silent Push 보고서를 발표한 후 EINSTEIN 침입 탐지 시스템을 사용하는 여러 연방 민간 행정부(FCEB) 기관의 네트워크 내에서 악의적인 활동을 발견했다는 점이다.
이 활동은 Silent Push가 보고한 "광범위한 금전적 목적의 피싱 캠페인"과 관련이 있으며 2022년 9월 중순 단일 FCEB 네트워크에서 처음 발견된 후 다양한 FCEB 네트워크에서 탐지되었다.
이 캠페인의 배후에 있는 공격자는 적어도 2022년 6월 중순부터 업무 지원 센터인 헬프 데스크로 위장한 피싱 이메일을 연방 직원의 정부 및 개인 이메일 주소로 보내기 시작했다.
"해당 조직은 적어도 2022년 6월부터 사이버 범죄자들이 헬프 데스크를 주제로 한 피싱 이메일을 FCEB 연방 직원의 개인 및 정부 이메일 주소로 보냈다고 평가한다."
"이메일에는 '1단계' 악성 도메인에 대한 링크가 포함되어 있거나 수신자가 사이버 범죄자에게 전화를 걸도록 유도하여 수신자가 1단계 악성 도메인을 방문하도록 유도한다."
이 캠페인에서 FCEB 직원을 대상으로 하는 콜백 피싱 공격은 2021년 1분기 이후 625%의 발생 확률 증가했고 랜섬웨어 조직에서도 채택되었다.
이러한 조직에는 Silent Ransom Group, Quantum (현재 Dagon Locker) 및 Royal과 같은 Conti 사이버 범죄 조직이 포함된다.
[그림1. 콜백 피싱 이메일]
일반 피싱 이메일과 달리 콜백 피싱 공격에는 공격자의 웹사이트 링크가 포함되어 있지 않다.
대신 고가의 구독 갱신과 같은 미끼를 사용하여 피해 대상이 기재된 전화번호로 전화를 걸도록 유도한다.
타깃이 전화를 걸면 갱신 가격을 환불하는 데 필요한 소프트웨어를 다운로드할 수 있는 웹 사이트를 열라는 지시를 받게 된다.
이메일에 악성 링크가 포함된 경우 사용된 피싱 도메인은 Microsoft, Amazon 및 Paypal을 비롯한 유명 브랜드를 사칭하도록 설계되었다.
포함된 링크를 클릭하면 기본 웹 브라우저가 열리고, 공격자의 RMM 서버에 연결되는 AnyDesk 및 ScreenConnect 다운로드를 목적으로 2단계 도메인에 연결하도록 설계된 악성코드가 자동으로 다운로드된다.
휴대용 원격 데스크톱 소프트웨어 실행 파일을 사용하면 악의적인 행위자가 관리자 권한이나 전체 소프트웨어 설치 없이 로컬 사용자로 타깃 시스템에 액세스할 수 있으므로 소프트웨어 제어 및 위험 관리 프로세스를 우회할 수 있다.
공격 대상의 장치에 발판을 마련한 후 위협 행위자는 액세스 권한을 사용하여 피해자가 은행 계좌에 로그인하도록 속여 환급 사기를 시작할 수 있도록 한다.
"이러한 활동은 금전적 동기가 있고 개인을 대상으로 하는 것으로 보이지만, 이 액세스는 다른 사이버 범죄자와 APT 행위자 모두로부터 수신자의 조직에 대한 추가 악의적인 활동으로 이어질 수 있다."
NSA는 "악의적인 사이버 행위자는 이러한 기술을 활용하여 국가 보안 시스템(NSS), 국방부(DoD) 및 방위 산업 기지(DIB) 네트워크를 표적으로 삼고, 직장 및 가정 장치와 계정 모두에서 합법적인 RMM 소프트웨어를 사용할 수 있다."라고 말했다.
디펜더들은 CISA, NSA 및 MS-ISAC에서 권고와 공유된 침해 지표를 사용하여 잠재적 악용 또는 침해를 탐지하도록 권장하고 있다.
캠페인에서 1단계 도메인 이름은 IT 관련 도움말/지원을 주제로 한 사회공학적 공격 기법에서 일반적으로 사용되는 명명 패턴인 myhelpcare[.]online, myhelpcare[.]cc, hservice[.]live, gscare[.]live, nhelpcare[.]info, deskcareme[.]live, nhelpcare[.]cc, win03[.]xyz, win01[.]xyz, 247secure[.], winbackup01[.]xyz 등을 사용하고 있다.
CISA는 네트워크 디펜더에게 지속성 및 명령 및 제어(C2)를 위한 백도어로 사용하는 것을 포함하여 RMM을 사용하는 추가적인 악의적인 위협 활동 등에 대한 권고 확인을 권장한다.
또한, 이러한 위험을 완화하고 들어오는 공격 시도로부터 네트워크를 안전하게 보호하도록 설계된 조치 목록을 제공했다.
잠재적인 보안 위협으로부터 보호하기 위해 회사와 조직은 설치된 원격 액세스 도구를 감사하고 인증된 RMM 소프트웨어를 식별해야 한다.
승인되지 않은 RMM 소프트웨어의 실행을 방지하기 위해 애플리케이션 제어를 사용하고, VPN 또는 VDI와 같은 승인된 원격 액세스 솔루션을 통해서만 RMM 소프트웨어를 사용하는 것을 권장하며 표준 RMM 포트 및 프로토콜에서 인바운드 및 아웃바운드 연결을 모두 차단하는 것을 권한다.
보안을 더욱 강화하기 위해 조직은 피싱 및 스피어피싱 이메일과 관련된 위험에 대한 직원들의 인식을 높이기 위해 훈련 프로그램 등을 마련해야 한다.
출처 https://www.bleepingcomputer.com/news/security/cisa-federal-agencies-hacked-using-legitimate-remote-desktop-tools/ |
