제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

합법적인 원격 관리 시스템을 통해 사이버 공격자에게 감염된 연방 기관

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 122

지난 여름 해커들이 기성 원격 모니터링 및 관리 시스템(RMM) XNUMX개를 교묘하게 활용하여 미국의 여러 FCEB(Federal Civilian Executive Branch) 기관 네트워크를 뚫었다는 사실이 밝혀졌습니다.

25월 XNUMX일 사이버보안 및 기반시설 보안국(CISA), 국가안보국(NSA), 다국가정보공유분석센터(MS-ISAC)가 공동으로 발표한 자문 공격에 대해 자세히 설명하고 사이버 보안 커뮤니티에 상업용 RMM 소프트웨어의 악의적인 사용에 대해 경고하고 조심해야 할 완화 및 침해 지표를 제공합니다.

IT 서비스 제공업체는 RMM을 사용하여 클라이언트의 네트워크와 엔드포인트를 원격으로 모니터링하고 관리합니다. 그러나 해커는 동일한 소프트웨어를 사용하여 미국 정부가 알아낸 것처럼 피해자 컴퓨터에 대한 일반적인 소프트웨어 제어 정책 및 인증 요구 사항을 우회할 수 있습니다.

해커가 RMM으로 정부를 침해한 방법

지난 XNUMX월 CISA는 후향적 분석을 실시했습니다. 아인슈타인 — FCEB 기관에 배포된 침입 탐지 시스템. 연구원들은 아마도 그들이 예상했던 것보다 더 많은 것을 발견했을 것입니다.

작년 XNUMX월 중순, 해커들은 FCEB 직원의 정부 주소로 피싱 이메일을 보냈습니다. 이메일은 직원에게 전화를 걸도록 요청했습니다. 전화를 걸면 악의적인 웹 주소인 "myhelpcare.online"을 방문하게 됩니다.

도메인을 방문하면 실행 파일의 다운로드가 트리거되고 두 번째 도메인에 연결된 두 번째 도메인에 연결됩니다. 여기에서 두 개의 RMM(AnyDesk 및 ScreenConnect(현재 ConnectWise Control))이 작동합니다. 두 번째 도메인은 대상 시스템에 AnyDesk 및 ScreenConnect 클라이언트를 실제로 설치하지 않았습니다. 대신 프로그램을 자체 포함된 휴대용 실행 파일로 다운로드하고 위협 행위자의 서버에 다시 연결하도록 구성했습니다.

이것이 왜 중요한가요? 저작 조직은 "휴대용 실행 파일에는 관리자 권한이 필요하지 않기 때문에 네트워크에서 동일한 소프트웨어 설치를 감사하거나 차단하는 위험 관리 제어가 있더라도 승인되지 않은 소프트웨어의 실행을 허용할 수 있습니다."라고 설명했습니다.

관리자 권한과 소프트웨어 제어를 조롱한 공격자는 실행 파일을 사용하여 "로컬 인트라넷 내의 다른 취약한 시스템을 공격하거나 로컬 사용자 서비스로서 장기간 지속 액세스를 설정할 수 있습니다."

하지만 XNUMX월 타협안은 빙산의 일각에 불과한 것으로 밝혀졌습니다. XNUMX개월 후, 다른 FCEB 네트워크와 유사한 도메인("myhelpcare.cc") 간에 트래픽이 관찰되었으며 추가 분석을 통해 저자는 "다른 많은 FCEB 네트워크에서 관련 활동을 식별했습니다."라고 회상했습니다.

공무원을 대상으로 했음에도 불구하고 공격자는 금전적 동기가 있는 것으로 보입니다. 대상 컴퓨터에 연결한 후 피해자가 은행 계좌에 로그인하도록 유인한 다음 "RMM 소프트웨어를 통한 액세스를 사용하여 수신자의 은행 계좌 요약을 수정했습니다"라고 작성자는 썼습니다. “잘못 수정된 은행 계좌 요약에는 수취인이 실수로 초과 금액을 환불받은 것으로 나타났습니다. 그런 다음 행위자는 수령인에게 이 초과 금액을 사기 운영자에게 '환불'하도록 지시했습니다.”

해커가 RMM을 좋아하는 이유

해커는 불법적인 목적을 위해 합법적인 소프트웨어를 사용한 오랜 역사를 가지고 있습니다. 가장 인기 있는 것은 다음과 같은 레드 팀 도구입니다. 코발트 스트라이크 그리고 Metasploit — 사이버 방어자가 자체 시스템을 테스트하는 데 사용하지만 적대적 맥락에서 동일한 방식으로 원활하게 적용될 수 있습니다.

사이버 보안과 명확한 관계가 없는 소프트웨어도 악용될 수 있습니다. 하나의 예로서, 북한 해킹 클러스터 스팸 필터를 통과하여 피싱 미끼를 보내기 위해 이메일 마케팅 서비스를 하이재킹하는 것이 관찰되었습니다.

이 경우 RMM은 최근 몇 년 동안 유비쿼터스화되어 RMM을 사용하는 공격자가 눈에 잘 띄는 곳에 쉽게 숨을 수 있습니다. 하지만 무엇보다 해커가 유리하게 활용하는 정상적인 기능을 수행하기 위해 RMM에 필요한 자율성의 정도입니다.

"많은 RMM 시스템은 운영 체제에 내장된 도구를 사용합니다."라고 KnowBe4의 보안 인식 옹호자인 Erich Kron은 Dark Reading에 설명합니다. "특수 제작된 RMM 도구뿐만 아니라 이러한 도구는 일반적으로 시스템 액세스 수준이 매우 높기 때문에 공격자에게 매우 유용합니다."

Kron은 “문제를 추가하기 위해 RMM 도구는 오탐을 유발하고 합법적인 작업을 수행할 때 악의적이고 비정상적으로 나타날 수 있기 때문에 종종 보안 모니터링에서 제외됩니다.”라고 말합니다.

또한 "정상적인 컴퓨팅 작업과 혼합되기 때문에 활동을 발견하기가 훨씬 더 어려워집니다"라고 그는 덧붙입니다. 차이점을 발견한 조직은 동일한 시스템에서 RMM의 합법적인 사용을 유지하면서 RMM의 악의적인 사용을 방지하는 데 있어 더 많은 골칫거리를 발견하게 될 것입니다.

그렇다면 이상할 것도 없다. 더 많은 해커 이러한 프로그램을 공격 흐름. 26월 XNUMX일 신고 Cisco Talos는 2022년 30분기 사고 대응 조사 결과를 다루면서 모든 계약의 거의 XNUMX%에서 발생한 RMM인 Syncro에 대해 특별히 언급했습니다.

Talos 연구원은 "이전 분기에 비해 상당한 증가"라고 설명했습니다. "Syncro는 공격자가 손상된 호스트에 대한 원격 액세스를 설정하고 유지하는 데 활용한 AnyDesk 및 SplashTop을 포함한 다른 많은 원격 액세스 및 관리 도구 중 하나였습니다."

통지를 마무리하기 위해 NSA, CISA 및 MS-ISAC는 네트워크 방어자가 다음을 포함하여 RMM 지원 공격에 대처하기 위해 취할 수 있는 조치를 제안했습니다.

  • 피싱에 대한 좋은 위생 및 인식,
  • 네트워크에서 원격 액세스 소프트웨어를 식별하고 메모리에만 로드되고 있는지 여부
  • 휴대용 실행 파일로 실행되는 무단 RMM에 대한 제어 구현 및 감사
  • 승인된 가상 사설망 및 가상 데스크톱 인터페이스를 통해서만 RMM을 사용해야 합니다.
  • 네트워크 경계에서 공통 RMM 포트 및 프로토콜에 대한 연결을 차단합니다.
spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.