4년 2022분기부터 ESET 원격 측정은 다음과 같은 새로운 캠페인의 시작을 보았습니다. 흙탕물, 이란 정보 보안부(MOIS)와 연계된 사이버 스파이 그룹으로 최소 2017년부터 활동하고 있습니다. 이 그룹은 (주로) 중동, 아시아, 아프리카, 유럽 및 북미의 피해자를 대상으로 하며 통신 회사, 정부 조직, 석유 및 가스, 에너지 분야.

MSP에 관심이 있는 독자에게 2022년 XNUMX월 캠페인에서 눈에 띄는 것은 이집트에서 XNUMX명, 사우디아라비아에서 XNUMX명 등 XNUMX명의 피해자가 단순도움말, MSP가 사용하는 합법적인 원격 액세스 도구(RAT) 및 원격 지원 소프트웨어입니다. 이러한 발전은 MSP에 대한 가시성의 중요성을 나타냅니다. 수백 또는 수천 가지 소프트웨어 유형을 배포할 때 자동화를 채택하고 SOC 팀, 고객 대면 보안 관리자, 탐지 및 대응 프로세스가 성숙하고 지속적으로 개선되도록 하는 것 외에는 선택의 여지가 없습니다.

악당을 위한 좋은 도구?

ESET 연구 발견 피해자의 디스크에 SimpleHelp가 있을 때 MuddyWater 운영자는 리골로, 피해자의 시스템을 명령 및 제어(C&C) 서버에 연결하기 위한 역방향 터널. MuddyWater가 언제 어떻게 MSP의 도구를 소유하게 되었는지 또는 MSP의 환경에 진입했는지는 알 수 없습니다. 우리는 MSP에 연락했습니다.

이 캠페인이 계속되는 동안 MuddyWater의 SimpleHelp 사용은 지금까지 MuddyWater C&C 서버를 성공적으로 난독화했습니다. SimpleHelp에서 Ligolo를 시작하는 명령은 캡처되지 않았습니다. 그럼에도 불구하고 MuddyWater 운영자도 추진하고 있음을 이미 알 수 있습니다. 미니 덤프 (lsass.exe 덤퍼), 크레드닌자, 그리고 그룹의 암호 덤퍼 MKL64의 새 버전입니다.

2022년 XNUMX월 말 ESET은 MuddyWater가 사우디아라비아의 동일한 피해자에게 맞춤형 역터널링 도구를 배포하는 것을 감지했습니다. 그 목적이 즉시 드러나지는 않았지만 분석은 계속되고 진행 상황은 당사에서 추적할 수 있습니다. 개인 APT 보고서.

MuddyWater는 MiniDump를 사용하여 LSASS(Local Security Authority Subsystem Service) 덤프에서 자격 증명을 얻고 CredNinja 침투 테스트 도구를 활용하는 것 외에도 인기 있는 MSP 도구 에 ConnectWise 피해자의 시스템에 액세스할 수 있습니다.

ESET은 또한 이미지, 오디오 트랙, 비디오 클립 또는 텍스트 파일과 같은 디지털 미디어의 데이터를 난독화하는 스테가노그래피와 같이 그룹에 연결된 다른 기술을 추적했습니다. ClearSky Cyber ​​Security의 2018년 보고서, 레바논과 오만에서의 MuddyWater 운영, 또한 이 사용법을 문서화하고 여러 가짜 이력서에 숨겨진 맬웨어에 대한 해시를 공유합니다. MyCV.doc. ESET은 난독화된 맬웨어를 다음과 같이 탐지합니다. VBA/TrojanDownloader.Agent.

ClearSky 보고서가 발행된 지 3.4년이 지났고 ESET 탐지량은 XNUMX위(XNUMX%)에서 떨어졌습니다. T3 2021 위협 보고서 VBA/TrojanDownloader.Agent는 T1.8 3 Threat Report의 "마지막" 순위(2022%)에서 가장 최근 순위까지 ​​상위 10위 맬웨어 탐지 차트에 남아 있습니다.

VBA/TrojanDownloader.Agent 탐지 ESET T3 2022 위협 보고서. (참고: 이러한 탐지는 다양한 맬웨어 계열/스크립트를 다시 그룹화합니다. 따라서 위의 VBA/TrojanDownloader.Agent 트로이 목마 비율은 MuddyWater가 이 맬웨어 유형을 사용하는 배타적인 탐지가 아닙니다.)

VBA 매크로 공격 악의적으로 제작된 Microsoft Office 파일을 활용하고 매크로 실행을 활성화하도록 사용자(MSP 직원 및 클라이언트 포함)를 조작하려고 시도합니다. 활성화된 경우 동봉된 악성 매크로는 일반적으로 추가 멀웨어를 다운로드하고 실행합니다. 이러한 악성 문서는 일반적으로 수신자와 관련된 중요한 정보로 위장한 이메일 첨부 파일로 전송됩니다.

MSP 및 기업을 위한 행동 촉구

Microsoft Word/Office 365/Outlook과 같은 주요 생산성 도구를 구성하는 MSP 관리자는 자신이 관리하는 네트워크에 위협을 전달하는 바로 그 위협 벡터를 통해 손을 뻗습니다. 동시에 SOC 팀 구성원은 MuddyWater와 같은 APT나 범죄 단체가 스테가노그래피를 비롯한 기술을 활용하여 자신이나 고객의 시스템에 액세스하려고 시도하는지 여부를 식별하도록 잘 구성된 자체 EDR/XDR 도구를 가지고 있을 수도 있고 그렇지 않을 수도 있습니다.

MSP는 둘 다 필요합니다. 신뢰할 수 있는 네트워크 연결 및 권한 있는 액세스 서비스를 제공하기 위해 고객 시스템에 이것은 그들이 많은 고객에 대한 위험과 책임을 축적한다는 것을 의미합니다. 중요한 것은 클라이언트가 선택한 MSP의 활동 및 환경에서 위험을 물려받을 수도 있다는 것입니다. 이것은 XDR이 새로운 위협, 위험한 직원 행동 및 원치 않는 애플리케이션이 그들의 이익이나 명성을 위험에 빠뜨리지 않도록 보장하기 위해 자체 환경과 고객 엔드포인트, 장치 및 네트워크 모두에 대한 가시성을 제공하는 중요한 도구임을 보여주었습니다. MSP에 의한 XDR 도구의 성숙한 작동은 또한 클라이언트가 부여한 권한 있는 액세스에 대한 특정 보안 계층을 제공하는 MSP의 활성 역할을 전달합니다.

성숙한 MSP가 XDR을 관리할 때 물리적 공급망과 디지털 공급망 모두에서 고객의 위치를 ​​활용하려는 APT 그룹을 포함하여 다양한 위협에 대응할 수 있는 훨씬 더 나은 위치에 있습니다. 방어자로서 SOC 팀과 MSP 관리자는 내부 가시성과 클라이언트 네트워크에 대한 가시성을 유지하는 이중의 부담을 짊어집니다. 클라이언트는 MSP의 보안 입장에 관심을 갖고 그들이 직면한 위협을 이해하여 공급자의 타협이 그들 자신의 타협으로 이어지지 않도록 해야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/