주요 콘텐츠로 건너뛰기
인텔리전스 다이제스트

머큐리 공격으로 피해를 입은 Microsoft Azure 환경

클라우드 환경으로 전환하는 파괴적인 지능형 지속 위협(APT) 그룹

2023년 5월 25일

로드먼 라메자니안 - 글로벌 클라우드 위협 책임자

최근 업계 조사에 따르면 이란 정보보안부(MOIS)와 연계된 것으로 널리 알려진 MERCURY APT 그룹(일명 머디워터, 스태틱 캣)이 실행 중인 여러 캠페인과 도구가 Microsoft Azure 클라우드 환경에서 피해를 주는 공격을 실행하는 것이 관찰되었습니다.

Microsoft에서 수행한 연구에 따르면 국가 공격자가 어떻게 취약하고 안전하지 않은 온사이트 리소스와 클라우드 환경에 액세스하여 공격 대상의 인프라에 광범위한 피해를 입힐 수 있었는지 보여줍니다. 표적이 된 조직은 로컬 AD(Active Directory)와 AAD(Azure Active Directory)를 결합한 하이브리드 Windows 도메인 환경을 실행하고 있으며, 공격자들은 Azure Active Directory Connect 에이전트를 조작하여 온라인 Azure 인프라에 진입한 후 피해자의 Azure 환경을 파괴했습니다.

Microsoft Azure 공격 시나리오 다이어그램

여기에는 Azure 가상 머신 인스턴스, 서버 팜 및 워크로드, 가상 네트워크, 스토리지 계정 등을 모두 지우는 것부터 시작되었습니다.

위협 행위자들은 작전 전반에 걸쳐 온프레미스 환경과 클라우드 환경 모두를 적극적으로 표적으로 삼았습니다. 현재 알려진 바에 따르면, 이 캠페인의 주요 목표는 교란과 파괴였습니다.

흥미롭게도 이러한 파괴적이고 파괴적인 행동은 이란 해커들이 2012년 사우디 아람코를 공격하여 피해를 입힌 사례와 시스템을 덮어쓰거나 시스템을 사용할 수 없게 만들거나 복구할 수 없게 만드는 DDoS 공격 및 와이퍼 멀웨어 변종을 지속적으로 사용하는 것과 같이 이란 국가 공격자들의 전술, 기술 및 절차(TTP)와 일치합니다(조직에 백업이 없는 경우).

두 번째로 흥미로운 점은 APT 그룹이 마이크로소프트 클라우드 에코시스템에 집중하고 있다는 점인데, 과거에는 주로 취약한 온프레미스 Exchange 서비스 및 포티넷 보안 어플라이언스를 공격했고 최근에는 Dropbox 및 OneHub와 같은 온라인 서비스에 집중하고 있습니다.

이러한 사고가 발생하는 이유는 무엇인가요?

오늘날의 정교한 해커들이 자신들의 목적을 달성하기 위해 점점 더 클라우드 환경에 집중하고 있다는 것은 놀라운 일이 아닙니다. 지정학적 요인에 따른 국가 단위의 공격과는 무관하게, 원격 액세스 도구가 공격 대상 환경에 대한 주요 초기 접근 경로로 악용되고 있는 것은 계속 확인되고 있습니다.

대부분의 조직이 클라우드로 계속 진화함에 따라 하이브리드 인프라는 클라우드 전용 에코시스템에서는 충족할 수 없거나 아직 클라우드화할 준비가 되지 않은 요구 사항을 유연하게 충족할 수 있습니다. 온프레미스 및 클라우드 네이티브 리소스를 동기화된 하이브리드 방식으로 유지하면 이러한 기업은 더 효율적인 방법이 성숙할 때까지 두 가지 장점을 모두 누릴 수 있습니다.

이러한 철학이 보편화되면서 위협 공격자들은 원격 데스크톱 연결과 같은 기존의 전통적인 접근 경로를 통해 공격에 성공한 후 궁극적으로 공격 대상의 클라우드 인프라에 대한 피벗 포인트를 확보할 수 있다는 생각에 즐거워합니다. 결과적으로 완전히 새로운 클라우드 도메인은 도난, 몸값을 통한 금전적 이득, 업무 중단, 심지어는 여기에서 볼 수 있듯이 노골적인 파괴를 위한 막대한 기회를 의미합니다.

무엇을 할 수 있나요?

이와 같은 위협은 취약하거나 노출된 서비스를 노리고 공격 대상의 환경에 진입할 수 있는 교두보를 제공합니다. 이 시점부터는 악의적인 공격자가 어디서 어떻게 과도한 권한과 권한을 악용하여 공격을 수행하느냐가 문제입니다. 최소한 전체적인 공격 표면을 줄이면 위협 행위자들이 '쉽게 얻을 수 있는' 유혹을 차단하는 데 큰 도움이 될 것입니다. 즉, 더 이상 필요하지 않거나 오래된 경계 도구 뒤에서 공개적으로 액세스해서는 안 되는 원격 액세스 서비스, 비공개 애플리케이션 또는 프로토콜을 비활성화하거나 최소한 세분화해야 합니다. Zero Trust Network Access (ZTNA)와 같은 기능을 통해 조직은 소프트웨어 정의 경계를 만들고 기업 네트워크를 여러 마이크로 세그먼트로 분할하여 위협의 측면 이동을 방지하고 침해 발생 시 공격 표면을 줄일 수 있습니다.

지속적인 액세스 평가 및 유효성 검사는 각 액세스 요청에 대해 개별 사례별로 악용 시도를 식별하고 방지할 수 있으므로 매우 효과적인 완화 기술이기도 합니다. 사용자 신원, 디바이스 신원, 자세 및 기타 상황적 요인을 평가할 때 ZTNA는 로그인에 성공한 모든 사용자에게 전체 기본 네트워크가 아닌 특정 애플리케이션에 대한 '최소 권한' 액세스를 허용합니다.

Skyhigh Security 의 보안 구성 감사 스크린샷

또한 권한이 있는 Microsoft Azure 관리자 계정의 남용뿐만 아니라 파괴를 위한 기반을 마련하기 위해 Microsoft Azure 환경 내의 구성이 변조되는 것을 목격하고 있으므로 Posture Management와 같은 기능을 사용하면 비정상적이거나 기업 표준에 위배되는 활동 및 변경을 탐지하고 방지하는 데 도움이 될 수 있습니다.

Skyhigh Security 는 활동 모니터링 및 보안 구성 감사 기능을 Microsoft Azure 인프라로 확장하여 이를 지원합니다. Azure 인프라에 대한 내부 및 외부 위협을 탐지하기 위해 Skyhigh Security 은 여러 휴리스틱을 통해 Microsoft Azure의 모든 사용자 활동에 대한 전체 기록을 캡처하고 위협을 탐지하며 자동으로 위험을 완화하는 조치를 취하고 포렌식 조사를 지원합니다. 위협이 해결되면 Skyhigh는 이 데이터를 행동 모델에 자동으로 통합하여 탐지 정확도를 개선합니다.

Skyhigh는 각 사용자 및 그룹에 대한 임계값을 동적으로 지속적으로 업데이트하여 내부자 위협을 나타내는 활동을 식별합니다. 내장된 권한 있는 사용자 분석은 비활성 관리자 계정, 과도한 권한, 권한 및 사용자 프로비저닝의 부당한 에스컬레이션으로 인한 위험을 식별합니다.

Skyhigh Security?

로드먼 라메자니안

저자 소개

로드먼 라메자니안

글로벌 클라우드 위협 리드

11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.

로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.

로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.

공격 하이라이트

  • 메르쿠리 위협 공격자는 패치가 적용되지 않은 취약한 인터넷 연결 디바이스와 웹 애플리케이션을 악용하여 피해자의 환경에 처음에 접근합니다.
  • 익스플로잇에 성공하면 공격자는 해당 자산에 웹 셸을 배포하여 원격으로 시스템 명령을 실행할 수 있습니다.
  • 로컬 사용자 계정은 관리자 모드로 권한을 에스컬레이션할 수 있도록 만들어지며, 최종적으로는 대상 도메인 컨트롤러에 도달하여 추가 전파를 목표로 합니다.
  • 표적이 된 조직이 로컬 AD와 Azure AD 서비스를 결합한 하이브리드 Windows 도메인 환경을 실행하는 경우, 위협 행위자는 Azure AD Connect 에이전트가 만든 모든 권한 있는 계정을 악용합니다. 이 에이전트는 공유 ID에 대한 암호 동기화, 개체 동기화 등의 추가 기능을 통해 로컬 AD와 Azure AD 환경 간의 '브리지' 역할을 하여 동기화 상태를 유지합니다.
  • 공격자가 침해된 계정을 통해 Microsoft Azure 환경에 성공적으로 로그인하면 계정 권한 세트와 역할 권한이 변조되어 추가 작업을 수행합니다.
  • 워크로드, VM 이미지, 서버, 디스크, 스토리지 계정 및 Azure 계정의 다양한 기타 서비스 인스턴스 삭제를 포함하여 Microsoft Azure 자산의 파괴가 시작됩니다.