16개 APT(지능형 지속 위협) 그룹은 지난 2년 동안 정부 기관, 제조 회사, 에너지 산업을 중심으로 사이버 공격을 가해 중동의 조직을 표적으로 삼았습니다.
27월에 발표된 분석에 따르면 APT 공격자는 주로 사우디아라비아, 아랍에미리트, 이스라엘의 조직을 표적으로 삼았으며 Oilrig 및 Molerats와 같은 잘 알려진 그룹뿐만 아니라 Bahamut 및 Hexane과 같은 덜 알려진 조직도 포함되어 있습니다. XNUMX 사이버 보안 서비스 회사인 Positive Technologies가 제작했습니다.
이 단체들은 국가 후원자들이 정치적, 경제적, 군사적 이점을 누릴 수 있는 정보를 얻는 것을 목표로 한다고 연구진은 말했습니다. 그들은 해당 그룹의 소행으로 추정되는 141건의 성공적인 공격을 기록했습니다.
Positive Technologies의 수석 정보 보안 분석가인 Yana Avezova는 "기업은 해당 지역을 공격하는 APT 그룹이 어떤 전술과 기술을 사용하고 있는지 주의를 기울여야 합니다."라고 말했습니다. “중동 지역의 기업들은 이러한 그룹이 일반적으로 어떻게 운영되는지 이해하고 그에 따라 특정 단계를 준비할 수 있습니다.”
사이버 보안 회사는 분석을 통해 초기 액세스를 위한 피싱, 악성 코드 암호화 및 위장, 인터넷 릴레이 채팅(IRC)과 같은 일반적인 애플리케이션 계층 프로토콜을 사용한 통신을 포함하여 APT 공격자가 사용하는 가장 인기 있는 공격 유형을 확인했습니다. 또는 DNS 요청.
APT 행위자 16명 중 APT 35와 모세스 스태프를 포함한 XNUMX개 그룹은 이란과 연결됐고, 몰레라트(Molerats) 등 XNUMX개 그룹은 하마스와 연결됐고, XNUMX개 그룹은 중국과 연결됐다. 분석에서는 정교하고 끈질긴 것으로 간주되는 그룹의 사이버 공격만 다루었으며 Positive Technologies는 행동주의 그룹이 아닌 일부 그룹(예: Moses Staff)을 APT 상태로 격상시켰습니다.
“연구 과정에서 우리는 특정 공급업체에 의해 핵티비스트로 분류된 그룹 중 일부가 실제로 핵티비스트가 아니라는 결론에 도달했습니다.” 보고서에 명시된이어 “보다 심층적인 분석을 통해 모세스 스태프 공격은 핵티비스트 공격보다 더 정교하고, 이 그룹은 일반적인 핵티비스트 그룹보다 더 큰 위협을 가한다는 결론에 도달했다”고 덧붙였다.
주요 초기 벡터: 피싱 공격, 원격 공격
분석에서는 각 그룹이 사용하는 다양한 기술을 MITRE AT&CK 프레임워크에 매핑하여 중동에서 활동하는 APT 그룹에서 사용되는 가장 일반적인 전술을 결정합니다.
초기 액세스 권한을 얻기 위한 가장 일반적인 전술에는 피싱 공격(11개 APT 그룹에서 사용)과 공개 애플리케이션의 취약점을 악용하는 공격(XNUMX개 그룹에서 사용)이 포함됩니다. 또한 그룹 중 XNUMX개는 드라이브 바이 다운로드 공격이라고도 알려진 방문자를 표적으로 삼는 워터링 홀 공격의 일부로 웹사이트에 배포된 악성 코드를 사용합니다.
“대부분의 APT 그룹은 표적 피싱을 통해 기업 시스템에 대한 공격을 시작합니다.”라고 보고서는 밝혔습니다. “대개 악성 콘텐츠가 포함된 이메일 캠페인이 여기에 포함됩니다. 이메일 외에도 APT35, Bahamut, Dark Caracal, OilRig와 같은 일부 공격자는 피싱 공격에 소셜 네트워크와 메신저를 사용합니다.”
네트워크에 들어가면 한 그룹을 제외한 모든 그룹이 운영 체제 및 하드웨어를 포함한 환경에 대한 정보를 수집했으며, 대부분의 그룹(81%)은 시스템의 사용자 계정을 열거하고 네트워크 구성 데이터(69%)도 수집했습니다. 보고서.
"토지에서 생활하는 것"이 사이버 보안 전문가들 사이에서 주요 관심사가 되었지만 거의 모든 공격자(94%)가 외부 네트워크에서 추가 공격 도구를 다운로드했습니다. 16개 APT 그룹 중 XNUMX개는 다운로드를 용이하게 하기 위해 IRC나 DNS와 같은 애플리케이션 계층 프로토콜을 사용했다고 보고서는 밝혔습니다.
장기적인 통제에 집중
APT 그룹은 일반적으로 인프라의 장기적인 통제에 중점을 두고 "지정학적으로 중요한 순간"에 활동한다고 Positive Technologies는 보고서에 밝혔습니다. 이러한 성공을 막기 위해 기업은 구체적인 전술에 주의를 기울이는 동시에 정보 및 운영 기술을 강화하는 데에도 집중해야 합니다.
Positive Technologies의 Avezova는 이벤트 모니터링 및 사고 대응을 활용한 자산 목록 및 우선순위 지정, 직원들이 사이버 보안 문제를 더 잘 인식할 수 있도록 교육하는 것이 모두 장기적인 보안을 위한 중요한 단계라고 말합니다.
"요컨대, 결과 중심 사이버 보안의 핵심 원칙을 고수하는 것이 중요합니다. 가장 먼저 취해야 할 단계는 가장 일반적으로 사용되는 공격 기술에 대응하는 것입니다."라고 그녀는 덧붙입니다.
16개 그룹 중 대다수는 14개 중동 국가의 조직을 표적으로 삼았습니다. 12개 그룹은 사우디아라비아를 표적으로 삼았습니다. 10 UAE; XNUMX 이스라엘; XNUMX 조던; 그리고 XNUMX개는 각각 이집트와 쿠웨이트를 표적으로 삼았습니다.
정부, 제조, 에너지가 가장 일반적으로 표적이 되는 부문인 반면, 매스미디어와 군산복합체가 점점 더 일반적인 피해자 표적이 되고 있다고 회사는 보고서에 밝혔습니다.
핵심 산업에 대한 표적이 증가함에 따라 조직은 사이버 보안을 중요한 이니셔티브로 다루어야 한다고 보고서는 밝혔습니다.
"주요 목표는 용납할 수 없는 사건, 즉 조직이 운영 또는 전략적 목표를 달성하지 못하게 하거나 사이버 공격의 결과로 핵심 비즈니스에 심각한 혼란을 초래하는 사건의 가능성을 제거하는 것입니다." 보고서에 명시된 회사입니다. "이러한 이벤트는 조직의 최고 경영진에 의해 정의되며 사이버 보안 전략의 기반을 마련합니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
