맨디언트가 솔라윈즈 공급망 공격의 배후인 러시아 APT29 해킹그룹이 사용하는 새로운 전술과 기술에 대한 보고서를 공개했다.
공개한 내용에 따르면, APT29는 여전히 왕성한 활동을 보이고 있으며 새로운 전술을 사용해 마이크로소프트 365를 적극적으로 겨냥하고 있는 것으로 확인됐다.
특히, APT29는 북대서양조약기구(NATO) 회원국에 영향을 주거나 긴밀한 관계를 맺고 있는 조직을 포함한 이전 피해 조직들을 대상으로 다시 공격을 수행했다. 이는 APT29의 꾸준함, 공격성 및 스파이 활동에 필요한 기술을 더욱 발전시키기 위한 노력으로 볼 수 있다.
이번 맨디언트 조사의 일부 내용은 다음과 같다.
맨디언트가 관찰한 APT29의 새로운 전술 중 메일 항목에 접근할 때 마다 사용자 에이전트 문자열, 타임스탬프(Timestamp), IP 주소와 사용자를 기록하는 ‘마이크로소프트 퍼뷰 감사(Purview Audit)’를 비활성화한 것은 특히 주목할 만하다.
해당 라이센스는 특정 메일함의 공격자 접근 여부를 확인하고 노출 범위를 결정하는 데 중요한 로그 소스이다. APT29는 접근 권한을 얻고 이 라이센스를 비활성화함으로써 해당 메일함에 접근한 흔적을 숨길 수 있다.
APT29의 또 다른 전술로 ‘애저 액티브 디렉토리(Azure Active Directory)’에서 다중 인증(이하 MFA)에 대한 자체 등록 프로세스를 활용하는 방식이 있다.
한 예로, APT29는 확인되지 않은 방법을 통해 얻은 이메일 사서함 목록에 대해 비밀번호 추측 공격을 진행해 생성돼 있었지만 한 번도 사용되지 않은 계정의 비밀번호를 탈취하는 데 성공했다. 계정이 휴면 상태였기 때문에 애저 AD(Azure AD)는 APT29가 MFA를 등록하도록 요청했다. MFA 등록 이후, 이들은 해당 계정을 사용해 인증 및 MFA에 애저 AD를 사용하는 조직의 VPN 인프라에 접근할 수 있었다.
맨디언트의 APT29 그룹 보고서에 관한 보다 자세한 내용은 맨디언트 영문 블로그를 통해 확인할 수 있다.
★정보보안 대표 미디어 데일리시큐!★