맨디언트, 러 해커 APT29의 새로운 전술 관련 보고서 공개 
상태바
맨디언트, 러 해커 APT29의 새로운 전술 관련 보고서 공개 
  • 곽중희 기자
  • 승인 2022.08.22 13:09
  • 댓글 0
이 기사를 공유합니다

 

보안 기업 맨디언트가 솔라윈즈 공급망 공격의 배후인 러시아 APT29 해커 조직이 사용하는 새로운 전술과 기술에 대한 보고서를 공개했다.

맨디언트 조사에 따르면, APT29는 새로운 전술을 사용해 마이크로소프트 365(Microsoft 365)를 직접 겨냥하고 있는 것으로 확인됐다.

특히 APT29는 북대서양조약기구(NATO) 회원국에 영향을 주거나 긴밀한 관계를 맺고 있는 조직을 포함한 이전 피해 조직들을 대상으로 공격을 수행했다. 이번 맨디언트 조사의 일부 내용은 다음과 같다.

맨디언트가 관찰한 APT29의 새로운 전술 중 메일 항목에 접근할 때마다 사용자 에이전트 문자열, 타임스탬프(Timestamp), IP 주소와 사용자를 기록하는 ‘마이크로소프트 퍼뷰 감사(Purview Audit)’를 비활성화한 것은 특히 주목할 만하다.

해당 라이센스는 특정 메일함의 공격자 접근 여부를 확인하고 노출 범위를 결정하는 데 중요한 로그 소스이다. APT29는 접근 권한을 얻고 이 라이센스를 비활성화함으로써 해당 메일함에 접근한 흔적을 숨길 수 있다.

APT29의 또 다른 전술로 ‘애저 액티브 디렉토리(Azure Active Directory)’에서 다중 인증(이하 MFA)에 대한 자체 등록 프로세스를 활용하는 방식이 있다.

한 예로, APT29는 확인되지 않은 방법을 통해 얻은 이메일 사서함 목록에 대해 비밀번호 추측 공격을 진행해 생성돼 있었지만 한 번도 사용되지 않은 계정의 비밀번호를 탈취하는 데 성공했다. 계정이 휴면 상태였기 때문에 애저 AD(Azure AD)는 APT29가 MFA를 등록하도록 요청했다. MFA 등록 이후, 이들은 해당 계정을 사용해 인증 및 MFA에 애저 AD를 사용하는 조직의 VPN 인프라에 접근할 수 있었다. 사용하는 조직의 VPN 인프라에 접근할 수 있었다.

한편, 맨디언트의 APT29 그룹 보고서의 구체적인 내용은 맨디언트 영문 블로그를 통해 확인이 가능하다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.