Peach Sandstorm 이란 APT 그룹의 공격방식 - 보안기사 읽기 1주차 5일

 

 

이란 Peach Sandstorm APT 그룹이

2월부터 위성, 국방, 제약 회사를 노리는 등 수천가지의 환경에서 인증을 뚫고 있습니다.

특히 US 정부기관에 들어가 이스라엘 사람을 상대로 노리는 등 격해지고 있습니다.

 

공격 방식은 여러 기기에서 password spraying으로 lockout 되지 않고 최대한 감지안되게 brute-force를 합니다. 이 때 트로IP를 사용하거나 'go-http-client'유저 에이전트를 활용하고, AzureHound, Roadtools 툴을 사용해서 azure 리소스를 exploit합니다. 

access하여 들어간 이후로는 정교한 여러 TTPs를 사용합니다. (여러 툴을 다운받고 lateral movement까지 합니다.)

vuln application에 대해서는 RCE를 활용해서 initial access를 얻습니다. 

이 후 remote monitoring을 하기 위해서 anydesk를 깝니다. 또 인증을 우회하기 위해서 golden SAML attack 를 실행하며, DLL order hijacking, network port tunneling을 위해서 EagleRelay처럼 custom툴을 활용합니다.

 

이게 통한 이유는 아무래도 패스워드의 단순한 문자열이 가장 컸을 것으로 보입니다.

 

MS 는 revoke sessions cookies하고, 전체적으로 인증에대해 모니터하라고합니다.

패스워드를 심하게 강화해야되는데 어떤 서비스는 MFA를 사용할 수 없으니 복잡한 문자열을 사용하고 좋은 password manager를 사용하는 게 가장 좋은 방법입니다.

 

 

역시 APT는 공격이 정교하고 실력이 상당한 듯합니다.

password manager를 사용해도 그거 하나뚫리면 다 터지지 않냐라고 할 수도 있는데 2차, 3차까지 넘어서 공격자가 최대한 눈치못채도록 최종 패스워드가 있는 위치를 힌트느낌으로 찾아가면 됩니다.