아웃라인
조지아APT28해커이 팀은 2022년 4월부터 2023년 11월까지 전 세계의 고가치 표적을 대상으로 NT LAN Manager(NTLM) v2 해시 릴레이 공격 방식을 통해 사이버 공격을 수행해 왔습니다.
공격 대상
APT28은 외교, 에너지, 국방, 교통 분야의 기관과 노동, 사회복지, 금융, 보육, 지방의회 관련 기관을 대상으로 합니다.
공격 스타일(물리)
- 트렌드마이크로 시큐리티는 이러한 공격을 분석한 결과 APT28이 자동화된 수단을 통해 네트워크에 강제 침입을 시도했으며 수천 개의 이메일 계정을 침해했을 가능성이 있다고 결론지었습니다.
- APT28은 여러 다른 별칭을 통해서도 사용되었습니다.사이버 보안블루 아테나, 블루델타, 팬시베어 등 커뮤니티에 잘 알려진 브랜드가 있습니다.
- 이 해킹팀은 2009년부터 활동해 왔으며 러시아 GRU 군사 정보국이 운영하고 있습니다.
공격 사례 연구
- 2023년 4월, APT28은 정찰 및 멀웨어 배포를 위해 Cisco 네트워크 장비의 취약점을 악용했습니다.
- 이 팀은 Microsoft Outlook의 권한 상승 취약점을 악용했습니다(CVE-2023-23397) 및 WinRAR 코드 실행 취약점(CVE-2023-38831)를 사용하여 NTLM 릴레이 공격을 수행합니다.
- APT28은 또한 이스라엘-하마스 분쟁과 관련된 미끼를 사용하여 헤드레이스라는 백도어 프로그램을 유포했으며, 우크라이나와 폴란드의 조직을 표적으로 삼아 다음과 같은 작업을 수행했습니다.피싱 공격(컴퓨팅).
공격 특성
APT28은 지속적으로 공격 기법과 무기를 개선하고 탐지를 회피하기 위해 전술을 조정하고 있습니다.
NTLM 릴레이 공격 기법
- APT28은 스캐닝 및 정찰을 위한 익명화 도구로 VPN, Tor, 데이터 센터 IP 주소 및 손상된 EdgeOS 라우터를 사용합니다.
- 이 조직은 알려진 취약점과 피싱 사이트를 악용하여 자격 증명을 훔치기 위해 Tor 또는 VPN을 통해 피싱 이메일을 보냅니다.
보안 권장 사항
- 와 관련하여사이버 보안지속적인 개선을 위해서는 커뮤니티가 APT28의 다양한 공격 패턴과 전략을 이해하는 것이 중요합니다.
- 조직은 의심스러운 활동에 대해 경각심을 갖고 즉각적인 예방 조치를 취하고 모든 시스템에 적시에 패치를 적용해야 합니다.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html
