최근 업계 조사에 따르면 이란 정보보안부(MOIS)와 연계된 것으로 널리 알려진 MERCURY APT 그룹(일명 머디워터, 스태틱 캣)이 실행 중인 여러 캠페인과 도구가 Microsoft Azure 클라우드 환경에서 피해를 주는 공격을 실행하는 것이 관찰되었습니다.
Microsoft에서 수행한 연구에 따르면 국가 공격자가 어떻게 취약하고 안전하지 않은 온사이트 리소스와 클라우드 환경에 액세스하여 공격 대상의 인프라에 광범위한 피해를 입힐 수 있었는지 보여줍니다. 표적이 된 조직은 로컬 AD(Active Directory)와 AAD(Azure Active Directory)를 결합한 하이브리드 Windows 도메인 환경을 실행하고 있으며, 공격자들은 Azure Active Directory Connect 에이전트를 조작하여 온라인 Azure 인프라에 진입한 후 피해자의 Azure 환경을 파괴했습니다.
여기에는 Azure 가상 머신 인스턴스, 서버 팜 및 워크로드, 가상 네트워크, 스토리지 계정 등을 모두 지우는 것부터 시작되었습니다.
위협 행위자들은 작전 전반에 걸쳐 온프레미스 환경과 클라우드 환경 모두를 적극적으로 표적으로 삼았습니다. 현재 알려진 바에 따르면, 이 캠페인의 주요 목표는 교란과 파괴였습니다.
흥미롭게도 이러한 파괴적이고 파괴적인 행동은 이란 해커들이 2012년 사우디 아람코를 공격하여 피해를 입힌 사례와 시스템을 덮어쓰거나 시스템을 사용할 수 없게 만들거나 복구할 수 없게 만드는 DDoS 공격 및 와이퍼 멀웨어 변종을 지속적으로 사용하는 것과 같이 이란 국가 공격자들의 전술, 기술 및 절차(TTP)와 일치합니다(조직에 백업이 없는 경우).
두 번째로 흥미로운 점은 APT 그룹이 마이크로소프트 클라우드 에코시스템에 집중하고 있다는 점인데, 과거에는 주로 취약한 온프레미스 Exchange 서비스 및 포티넷 보안 어플라이언스를 공격했고 최근에는 Dropbox 및 OneHub와 같은 온라인 서비스에 집중하고 있습니다.
이러한 사고가 발생하는 이유는 무엇인가요?
오늘날의 정교한 해커들이 자신들의 목적을 달성하기 위해 점점 더 클라우드 환경에 집중하고 있다는 것은 놀라운 일이 아닙니다. 지정학적 요인에 따른 국가 단위의 공격과는 무관하게, 원격 액세스 도구가 공격 대상 환경에 대한 주요 초기 접근 경로로 악용되고 있는 것은 계속 확인되고 있습니다.
대부분의 조직이 클라우드로 계속 진화함에 따라 하이브리드 인프라는 클라우드 전용 에코시스템에서는 충족할 수 없거나 아직 클라우드화할 준비가 되지 않은 요구 사항을 유연하게 충족할 수 있습니다. 온프레미스 및 클라우드 네이티브 리소스를 동기화된 하이브리드 방식으로 유지하면 이러한 기업은 더 효율적인 방법이 성숙할 때까지 두 가지 장점을 모두 누릴 수 있습니다.
이러한 철학이 보편화되면서 위협 공격자들은 원격 데스크톱 연결과 같은 기존의 전통적인 접근 경로를 통해 공격에 성공한 후 궁극적으로 공격 대상의 클라우드 인프라에 대한 피벗 포인트를 확보할 수 있다는 생각에 즐거워합니다. 결과적으로 완전히 새로운 클라우드 도메인은 도난, 몸값을 통한 금전적 이득, 업무 중단, 심지어는 여기에서 볼 수 있듯이 노골적인 파괴를 위한 막대한 기회를 의미합니다.
무엇을 할 수 있나요?
이와 같은 위협은 취약하거나 노출된 서비스를 노리고 공격 대상의 환경에 진입할 수 있는 교두보를 제공합니다. 이 시점부터는 악의적인 공격자가 어디서 어떻게 과도한 권한과 권한을 악용하여 공격을 수행하느냐가 문제입니다. 최소한 전체적인 공격 표면을 줄이면 위협 행위자들이 '쉽게 얻을 수 있는' 유혹을 차단하는 데 큰 도움이 될 것입니다. 즉, 더 이상 필요하지 않거나 오래된 경계 도구 뒤에서 공개적으로 액세스해서는 안 되는 원격 액세스 서비스, 비공개 애플리케이션 또는 프로토콜을 비활성화하거나 최소한 세분화해야 합니다. Zero Trust Network Access (ZTNA)와 같은 기능을 통해 조직은 소프트웨어 정의 경계를 만들고 기업 네트워크를 여러 마이크로 세그먼트로 분할하여 위협의 측면 이동을 방지하고 침해 발생 시 공격 표면을 줄일 수 있습니다.
지속적인 액세스 평가 및 유효성 검사는 각 액세스 요청에 대해 개별 사례별로 악용 시도를 식별하고 방지할 수 있으므로 매우 효과적인 완화 기술이기도 합니다. 사용자 신원, 디바이스 신원, 자세 및 기타 상황적 요인을 평가할 때 ZTNA는 로그인에 성공한 모든 사용자에게 전체 기본 네트워크가 아닌 특정 애플리케이션에 대한 '최소 권한' 액세스를 허용합니다.
또한 권한이 있는 Microsoft Azure 관리자 계정의 남용뿐만 아니라 파괴를 위한 기반을 마련하기 위해 Microsoft Azure 환경 내의 구성이 변조되는 것을 목격하고 있으므로 Posture Management와 같은 기능을 사용하면 비정상적이거나 기업 표준에 위배되는 활동 및 변경을 탐지하고 방지하는 데 도움이 될 수 있습니다.
Skyhigh Security 는 활동 모니터링 및 보안 구성 감사 기능을 Microsoft Azure 인프라로 확장하여 이를 지원합니다. Azure 인프라에 대한 내부 및 외부 위협을 탐지하기 위해 Skyhigh Security 은 여러 휴리스틱을 통해 Microsoft Azure의 모든 사용자 활동에 대한 전체 기록을 캡처하고 위협을 탐지하며 자동으로 위험을 완화하는 조치를 취하고 포렌식 조사를 지원합니다. 위협이 해결되면 Skyhigh는 이 데이터를 행동 모델에 자동으로 통합하여 탐지 정확도를 개선합니다.
Skyhigh는 각 사용자 및 그룹에 대한 임계값을 동적으로 지속적으로 업데이트하여 내부자 위협을 나타내는 활동을 식별합니다. 내장된 권한 있는 사용자 분석은 비활성 관리자 계정, 과도한 권한, 권한 및 사용자 프로비저닝의 부당한 에스컬레이션으로 인한 위험을 식별합니다.