레코디드 퓨처의 인식트 그룹(® )은 카셈 술레이마니 살해에 대한 이란의 대응 가능성을 분석하기 위해 입수 가능한 정보를 검토했습니다. 이 보고서는 사이버 기반 보복에 관여할 가능성이 있는 전술, 도구 및 그룹을 정리한 것입니다.

이 보고서는 특히 페르시아만의 긴장이 고조되고 있는 상황에서 이란 국가 지원 단체의 표적이 될 우려가 있는 조직과 중동의 지정학적 사건을 주시하는 조직에서 가장 큰 관심을 가질 것입니다.

Insikt Group 해당 사건과 관련된 새로운 정보가 확인되거나 이와 관련된 사이버 위협 활동이 탐지될 경우, 관련 내용을 지속적으로 업데이트해 드리겠습니다. 다음 링크를 참조하시면 추가적인 배경 정보를 확인할 수 있습니다. 이란은 국가가 지휘하는 사이버 작전을 관리합니다. 그리고 일부 국가 후원 및 애국적 해커들의 역사. 출처에는 Recorded Future의® 플랫폼에서 수집된 정보와 기타 공개 자료가 포함됩니다.

Executive Summary

1월 3일 새벽, 이란의 이슬람 혁명수비대(IRGC) 소속 쿠드스 부대(IRGC-QF)의 사령관 카셈 솔레이마니와 이라크의 인민동원군(PMF) 부사령관 아부 마흐디 알-무한디스, 그리고 다른 여러 명이 이라크 바그다드 국제공항 근처에서 미국 미사일 공격으로 사망했습니다. 우리는 특히 수레이마니와 알-무한디스의 사망이 이란과 그 동맹국으로부터의 보복 조치를 유발할 가능성이 매우 높다고 평가합니다. 이 보복 조치는 이란 군대와 그 동맹 민병대가 중동 지역에서 미국 및 동맹국 정부와 기업 이익을 대상으로 한 보복적 비대칭 조치를 실행하는 패턴을 포함할 수 있습니다.

주요 판단

• 우리는 이란의 신중하면서도 직접적인 대응을 기대합니다. 이는 부분적으로는 권력 유지에 깊은 관심을 갖고 미국과 직접적인 군사적 대결을 주저하는 이란 집권 정권을 고립시키기 위한 것으로 평가합니다. 집권 정권의 신중한 대응을 기대했지만, 이란의 대리인들이 이 지역에서 더 공격적으로 보복할 가능성이 높다고 생각합니다.
• 이란은 고도의 사이버 작전 능력을 보유하고 있으며, 사이버 공격의 가장 유력한 표적은 여전히 미국과 중동 내 파트너 정부, 군사 및 상업적 이해관계자라고 생각합니다.
• 핵티비스트 세력(정부 지시가 아닌 친정권 세력으로 정의함) 간의 대화를 관찰한 결과, 느슨하게 보호되는 웹사이트, 서버, 데이터베이스와 같이 더 약한 표적에 대한 공격이 확대될 가능성이 있다고 평가합니다.
• 최근 기록된 러시아 정부 후원 단체들이 이란의 인프라를 해킹해 사이버 작전에 활용하는 사례는 사이버 활동의 출처를 규명하려는 피해자들에게 추가적인 불확실성과 혼란을 초래할 수 있습니다. 현재로서는 이란의 알려진 및 추적 가능한 사이버 인프라를 활용한 작전이 실제로 이란 정부에 의해 운영되고 지휘되고 있는지 여부가 명확하지 않습니다. 이것은 러시아가 이란의 사이버 운영 인프라를 어느 정도 침해했는지 알지 못하기 때문에 오인 및 오판으로 인한 오판의 가능성을 높입니다.

배경

2020년 1월 2일 오후 늦게(동부 표준시), 언론 보도에 따르면 미국 미사일 공격이 이라크 바그다드 국제공항 근처에서 발생했습니다. 공습으로 여러 명이 사망했으며, 이 중에는 이란 이슬람 혁명수비대(IRGC)의 쿠드스 부대(IRGC-QF) 사령관 카셈 솔레이마니와 이라크 민병대인 인민동원군(PMF)의 부사령관 아부 마흐디 알-무한디스가 포함되었습니다. 보고된 사망자 중에는 PMF의 다른 대표들 여러 명이 포함되어 있으며, 이 중에는 해당 단체의 홍보 담당 책임자인 모하메드 리다 자브리도 포함되어 있습니다. 미국 국방부의 성명서와 이란 정부 언론의 보도에 따르면, 해당 공격이 확인되었으며 수레이마니가 공격의 표적이였음이 확인되었습니다.

위협 분석

인사이트 그룹은 특히 솔레이마니의 사망이 이란 정부의 대응을 유발할 가능성이 높다고 평가하며, 여기에는 이란의 군사 자산, 대리인 또는 그 동맹 민병대가 중동 내 미국 정부 및 기업, 사우디아라비아, 아랍에미리트(UAE), 이스라엘 등 미국의 지역 파트너에 대한 보복 비대칭 조치를 실행하는 여러 시나리오가 포함될 수 있다고 전망합니다.

현재까지 Recorded Future는 이란의 군사, 외교, 정치 지도자들이 보복 공격이 발생할 것이라고 일치된 입장을 밝혔으나, 이러한 발언에는 보복 공격이 언제, 어떻게, 어디서 발생할지에 대한 구체적인 내용은 포함되지 않았습니다. 이란의 최고 지도자 아야톨라 알리 하메네이는 2020년 1월 3일, 수레이마니를 공격한 자들에게 "엄중한 보복"이 기다리고 있다고 선언하고, 사망한 IRGC-QF 사령관을 추모하기 위해 3일간의 국가 애도 기간 을 선포했습니다. 1월 5일, 이란 최고 지도자의 군사 고문인 호세인 데흐간 소장은 이란의 대응이 "확실히 군사적일 것"이며 미국 "군사 시설"을 대상으로 할 것이라고 밝혔습니다.

보복의 필요성 읽기

최근 몇 년간, 솔레이마니 장군은 국내에서 광범위한 지지를 받았다고 전해지며, 이는 그가 이슬람국가(IS) 그룹의 테러 공격과 위협으로부터 국가를 보호하는 전략을 수립했다는 인식 때문으로 분석됩니다. 여러 보고서에 따르면, 솔레이마니의 사망은 최근 이란 군사 역사에서 이례적인 보복 요구를 촉발시켰으며, 이는 정부나 이란 군인들에게 극도의 폭력이 가해진 경우를 제외하고는 드문 현상입니다. 이 사례에는 2017년 6월 IS의 이란 의회 공격과 2017년 8월 IS에 의해 이란 혁명수비대(IRGC) 장교모센 호자지( Mohsen Hojaji) 가 참수된 사건이 포함됩니다. 전자는 IS에 대한 탄도 미사일 공격으로 이어졌으며, IRGC 장교 호자지는 IS와의 전투에서 상징적인 인물이 되었습니다. 당시 솔레이마니는 IRGC 고위 간부들 중 한 명으로, 호자지의 사망에 대한 대응을 주도했습니다.

이란이 솔레이마니의 사망에 대한 대응으로 채택할 가능성이 높은 보다 계산된 접근 방식을 보여주는 역사적 사례 중 하나는 1998년 아프가니스탄 탈레반에 의해 이란 외교관들이 살해된 사건입니다. 1998년, 아프가니스탄 탈레반에 의해 이란 외교관 약 10명이 살해되는 사건이 발생했습니다. 이 사건은 탈레반에 대한 대중의 분노를 일으켰으며, 약 20만 명의 이란 군대가 동원되는 결과를 초래했습니다. RAND Corporation의 연구는 이란 정부가 아프가니스탄 위기를 대응하기 위해 실용적인 의사결정 과정을 거쳤음을 보여주었습니다. IRGC와 극단적 정치 세력의 군사적 대응을 요구하는 강경파의 압력에도 불구하고, 최고 지도자 하메네이는 대신 "전쟁의 위험 없이" 대응하는 방안을 선택했습니다. 同様に, 2020년 1월 5일, 카메네이의 주요 참모인 IRGC 장군 호세인 데흐간은 솔레이마니의 살해에 대해 이란이 군사적으로 대응할 것이라고 주장했지만, 전쟁을 추구하지 않을 것이라고 밝혔습니다.

인사이트 그룹은 이란이 솔레이마니의 사망으로 인한 압박을 상쇄하고 미국과의 직접적인 군사적 교전 가능성을 더 이상 부추기지 않으면서 균형을 맞추기 위해 신중한 비대칭 대응을 추구할 가능성이 있다고 평가합니다.

최근 비대칭 보복 공격의 사례

과거에 이란 또는 이란의 지원을 받는 세력이 취한 것으로 의심되는 보복 조치에는 다음이 포함되지만 이에 국한되지는 않습니다:

• IRGC-QF는 2019년 내내 사우디아라비아의 압카이크와 쿠라이스 석유 시설에 대한 미사일 공격과 스웨덴 소유 유조선 스테나 임페로 호의 압류 및 납치 사건의 배후로 의심받았습니다.
• 이란은 시아파 단체들과의 영향력을 이용해 바레인과 같은 종파 간 갈등과 반정부 활동이 활발히 벌어지는 지역에서 반란을 선동했다는 혐의를 받고 있습니다. 이 같은 영향은 2019년 12월 31일부터 2020년 1월 2일까지 이라크의 미국 대사관에서 발생한 폭력적인 시위를 촉발했을 가능성이 높습니다. 보고서에 따르면, 이 시위는 이란의 지원을 받는 대리 세력인 카타이브 헤즈볼라의 지지자들에 의해 실행된 것으로 추정됩니다. 이 세력은 알-무한디스가 이끄는 조직입니다.
• 이란은 또한 지역 내 석유 및 가스 인프라에 대한 파괴 행위를 지원했다는 혐의도 받고 있습니다. 2019년 내내, 이란이 예멘의 동맹인 후티 반군(안사르 알라)과 협력해 사우디아라비아의 석유 및 가스 인프라를 대상으로 한 조율된 공격에 연루되었다는 보고들이 이어졌습니다. 바레인에서 이란은 시아파 민병대 단체들을 다수 지원하고 있으며, 2017년 11월에 발생한 바레인 석유 및 가스 인프라에 대한 대규모 공격과 연관되어 있다는 의혹을 받고 있습니다.

이란은 미국, 지역 파트너, 서방의 이익에 반하는 대응에 관여할 수 있는 고도로 유능한 컴퓨터 네트워크 운영 팀을 다수 보유하고 있습니다. 레코디드 퓨처는 첩보 활동을 통해 얻은 이전 접근 권한이 이러한 보복 조치를 용이하게 할 가능성이 높다고 생각합니다. 특히, 이란 팀은 이전 공격에서 파괴적인 사이버 역량을 사용했으며, 이는 유사한 상황에서 이러한 멀웨어를 배포할 의지와 능력을 모두 갖춘 것으로 평가합니다. 또한 이란 공격자들은 웹 셸, 비밀번호 스프레이, 맞춤형 멀웨어와 상용 멀웨어의 조합을 통해 표적 환경에 접근하는 것을 선호하는 것으로 알려져 있습니다. 이전의 사이버 대응 시나리오에서 파괴적인 멀웨어가 사용되었음에도 불구하고 솔레이마니 장군이 미국의 공습으로 사망한 것은 독특한 상황이며, 이란이 어떤 사이버 역량을 미국과 파트너의 이익을 위해 활용할지에 대한 우리의 평가에 상당한 불확실성을 불러일으킵니다.

2019년 6월, Recorded Future는 APT33 악성 소프트웨어의 활동이 미국 산업, 핵심 인프라, 및 정부 기관을 대상으로 진행되고 있음을 관찰했습니다. 이로부터 곧이어 6월 22일, 도널드 트럼프 미국 대통령은 페르시아만 지역에서 긴장이 고조되는 가운데 이란의 미사일 시스템에 대한 사이버 공격을 실시했다고 밝혔습니다. 이란은 또한 걸프 해역에서 일본 유조선에 리벳 지뢰를 설치했다는 혐의로 비난을 받았으며, 이는 지역 내 긴장을 고조시켰습니다. 2019년 6월 당시, 미국 사이버 보안 및 인프라 보안국(CISA)은 이란과 관련된 행위자들이 목표 대상에 와이퍼 악성 소프트웨어를 배포하는 사례가 증가했다고 보고했습니다. 그러나 국가안보국(NSA)의 위협 운영 센터 기술 담당자는 이란 행위자들이 파괴가 아닌 첩보 수집에 초점을 맞춘 정상적인 첩보 활동 계속하고 있다고 밝혔습니다.

이전 액세스 및 도구가 사이버 대응에 도움이 될 수 있습니다.

레코디드 퓨처는 긴장이 고조되는 이 시기에 이란 위협 행위자들이 미국 산업, 주요 인프라, 정부 기관을 지속적으로 표적으로 삼을 것으로 예상합니다. 이란의 공격자들이 사이버 스파이 활동을 위해 미국 국내 정부, 군사 및 상업 기관을 계속 표적으로 삼을 것으로 평가하지만, 페르시아만 지역의 조직은 파괴적인 사이버 공격의 가장 큰 위험에 처해 있습니다. 또한 이란의 APT33, APT34(일명 오일리그) 또는 MUDDYWATER도 사이버 스파이 활동에서 중동의 미국 동맹국 및 파트너를 표적으로 삼을 가능성이 높다고 판단하고 있습니다. 사용자 지정 도구와 상용 도구가 지속적으로 혼합될 것으로 예상되며, 특히 의심스러운 Powershell 및 WMIC 기반 동작을 모니터링할 것을 권장합니다.

• MUDDYWATER 공격자들은 정치적 색채를 띤 스피어 피싱과 매크로, 또는 도난당한 자격 증명을 사용하여 악성 소프트웨어를 배포하고 정보를 탈취했습니다. MUDDYWATER는 Powershell 기반의 백도어인 POWERSTATS에 크게 의존합니다. MUDDYWATER는 POWERSTATS를 배포하고 명령 및 제어(C2) 목적으로 사용되는 해킹된 제3자 도메인을 활용합니다.
• APT33은 현재 중동에서 가장 활발하게 활동하는 그룹 중 하나로, 지속적으로 전술을 수정하고 다양한 도구와 기법을 사용하여 피해자를 공격하는 능력을 보여주었습니다. 이 공격자는 파워톤을 포함한 맞춤형 멀웨어 툴킷에서 다양한 도구를 사용하며, njRAT, 파워쉘 엠파이어, 나노코어, 퓨피랫 등 오픈 소스 원격 액세스 트로이목마(RAT)에도 크게 의존하고 있습니다.
• APT39는 주로 Chafer 및 Remexi 트로이목마 가족을 활용해 통신 산업을 주요 표적으로 삼았으며, 추가로 여행 산업 및 관련 IT 기업을 대상으로 공격을 진행했습니다. 우리는 해당 그룹의 주요 초점이 통신 및 여행 분야에 집중되어 있다는 점을 고려할 때, 특정 개인을 감시하거나 상업적 또는 운영적 목적으로 전략적 요구사항과 관련된 국가적 우선순위에 부합하는 독점적 또는 고객 데이터를 수집하는 데 관심이 있음을 판단합니다. FireEye의 연구원들은 APT39의 활동이 APT34(OilRig)와 중동 지역 표적 패턴, 인프라, 시점 측면에서 유사하다고 지적했습니다. 더 구체적으로 말하면, APT39와 APT34는 악성 소프트웨어 배포 방법, 인프라 명명 규칙, 그리고 표적 중복성을 공유합니다.
• 랩 두크테간 유출 사건은 APT34의 맞춤형 도구들을 공개했습니다: PoisonFrog, Glimpse, Hypershell, HighShell, Fox Panel, 및 Webmask. PoisonFrog 임플란트는 PowerShell 기반의 다운로드어로, VBS 백도어를 다운로드합니다. Chronicle과 Palo Alto의 분석 결과, PoisonFrog는 FireEye, Booz Allen, 및 Palo Alto의 Unit 42에서 이전에 분석된 BONDUPDATER 백도어임이 확인되었습니다. Webmask는 Cisco Talos가 공개한 DNSpionage DNS 하이재킹 캠페인의 일부일 가능성이 높습니다.

APT33, APT34, APT35가 이전에 수행한 인증 정보 수집 활동은 표적 환경에 대한 초기 액세스 권한을 얻는 데 사용될 수 있다고 평가합니다. 최근 주목할 만한 이벤트는 다음과 같습니다:

• 2019년 10월, APT33은 미국 및 전 세계의 산업 제어 시스템(ICS) 하드웨어 및 소프트웨어 공급업체에 특별히 관심을 보이며, 해당 조직을 대상으로 집중적인 비밀번호 스프레이링 캠페인을 수행했습니다. 해커들은 일반적으로 한 번에 50,000에서 70,000개의 조직을 대상으로 삼아, 각 조직에 접근하기 위해 소수의 자격 증명을 선택해 시도했습니다. 2019년 10월부터 11월 사이 APT33의 표적 범위는 크게 축소되었습니다. 이 기간 동안 APT33은 월평균 약 2,000개 조직을 표적으로 삼았으며, 각 조직 내 18~20개의 계정에 다양한 비밀번호 조합을 시도했습니다. 이는 이전 기간 대비 900%% 증가한 수치입니다. 비밀번호 스프레이링 및 호스트 내 활동에 사용되는 명령어는 이 GitHub에서 확인할 수 있습니다.
• 同様に, FireEye는 APT34가 표적형 스피어 피싱 캠페인을 통해 자격 증명 도용 악성 소프트웨어 가족인 LONGWATCH, VALUEVAULT 및 TONEDEAF를 사용한 것을 발견했습니다. 이 악성 소프트웨어 가족들은 주로 표적화된 개인으로부터 자격 증명을 수집하는 것을 목표로 했습니다. 악의적인 링크가 포함된 LinkedIn 메시지를 사용해 피해자들을 유인해 VBA 매크로를 사용해 악성 소프트웨어 가족을 다운로드하도록 하는 합법적인 데이터시트를 다운로드하도록 유도했습니다.
• APT35(Newscaster, PHOSPHORUS)를 통해 워터링 홀 공격, 피싱 이메일, 가짜 소셜 미디어 프로필을 통해 수집된 자격 증명 정보는 추가로 활용될 수 있습니다. 2019년 10월 4일, 마이크로소프트는 2019년 8월부터 9월까지 30일 동안 APT35가 미국 대통령 선거 캠페인을 대상으로 2,700회의 침투 시도를 한 것으로 관찰되었다고 밝혔습니다. 이 캠페인은 이후 트럼프 캠페인이 것으로 확인되었으며, 현재 및 전직 미국 정부 관계자, 정치 기자, 그리고 "유명" 이란 출신 해외 거주자들을 대상으로도 공격을 가했습니다. 해당 그룹은 241개의 이메일 계정을 표적으로 삼았으며, 미국 정부 관계자나 선거 운동과 관련이 없는 4개의 계정을 해킹하는 데 성공했습니다.
• SeaTurtle 및 DNSpionage/APT34 클러스터로부터의 DNS 하이재킹 활동으로 인해 이전에 접근하거나 수집된 정보는 추가적인 정보 수집을 용이하게 할 수 있습니다.

파괴적인 멀웨어

APT33과 APT34는 샤문, 데드우드, 제로클리어를 사용하여 석유 및 가스 부문을 대상으로 한 파괴적인 멀웨어 공격과 관련이 있습니다.

• 2019년 말 버지니아주 알링턴에서 열린 사이버워콘 컨퍼런스에서 마이크로소프트 분석가들은 2019년 6월 사우디아라비아의 VPN 서버에 DEADWOOD라는 파괴적인 멀웨어군을 드롭한 APT33에 대해 발표했습니다. 녹화된 미래는 Microsoft에서 설명하는 맬웨어 제품군에 대한 인사이트를 제공할 수 없습니다. 그러나 2019년 6월 22일 VirusTotal에 업로드된 파일은 나중에 사용자 "THOR scanner"에 의해 중동에서 사용되는 와이퍼로 플래그가 지정되었습니다. 이 파일(857ef30bf15ea3da9b94092da78ef0fc)이 문제의 와이퍼일 가능성이 높습니다.
• 2012년, APT33은 파괴적인 악성 소프트웨어 Shamoon을 배포했으며, 이란과 연관된 다른 APT 그룹들과 함께 2018년 12월 이탈리아 석유화학 계약업체 SAIPEM을 대상으로 한 공격에 참여했을 것으로 의심받고 있습니다.
• 2019년 12월 초, IBM의 X-Force 사고 대응 및 인텔리전스 서비스(IRIS)는 중동의 에너지 및 산업 분야를 겨냥한 제로클리어 와이퍼 멀웨어를 발견했다고 발표했습니다. IBM IRIS에 따르면 제로클리어의 배포에 APT34(오일리그)가 관여했을 가능성이 높다고 합니다. IBM IRIS 연구원들은 제로클리어 악성코드를 발견하는 과정에서 제로클리어 악성코드가 Windows 시스템의 디스크 파티션뿐만 아니라 MBR(마스터 부트 레코드)을 덮어쓴다는 점에서 샤문 악성코드와 특징을 공유한다는 사실을 발견했습니다.
• 최근에 "Dustman"이라고 자칭한 샘플을 분석한 결과, ZeroCleare와 유사한 특징을 보이며 반사우디 메시지를 포함하고 동일한 원시 디스크 드라이버를 사용한 것으로 확인되었습니다. 그러나 해당 샘플은 모든 도구를 단일 실행 파일 내에 통합하여 제공했습니다. 샘플에는 반사우디 메시지가 포함되어 있었으며, 반사우디 무트엑스("Down With Bin Salman")를 삭제했습니다.

민족주의 및 친정권 핵티비즘

우리는 이란 정권이 수레이마니 장군의 살해에 대한 대응을 신중히 검토하는 데 시간이 걸릴 것으로 평가합니다. 반면, 정권 친화적(하지만 정부 지시 하에 있지 않은) 사이버 행위자들은 방해 활동을 계속할 가능성이 높습니다. Recorded Future는 수레이마니의 사망 소식이 보도된 지 몇 시간 내에 해커 활동가들의 웹사이트 훼손 활동이 발생했으며, 이 중에는 미국 정부 기관 을 대상으로 한 공격도 포함되어 있음을 인지하고 있습니다. 또한, 우리는 IRGC 지지자들 사이에서 허위 정보의 확산 양상을 관찰했습니다. 해커 활동가들의 대화 내용을 분석한 결과, 공격이 보안이 취약한 웹사이트, 서버, 데이터베이스 등 상대적으로 취약한 목표물에 대한 공격이 강화될 가능성이 높다고 판단됩니다.

배우들이 범죄 활동으로 위장해 SamSam 랜섬웨어나 유사한 캠페인을 배포하는 것은 불가능한 일이 아닙니다. 두 배우가 이란 정부와 연관되어 있다는 증거는 없지만, 테헤란은 해당 작전과 그 수단에 대해 분명히 알고 있습니다.

전망

이란이 카셈 솔레이마니 장군 살해에 대한 대응으로 물리적 공격보다는 사이버 공격에 더 적극적으로 의존할 수 있으며, 이는 스파이 활동이나 사보타주의 형태로 이루어질 가능성이 높다고 평가합니다.

이 사이버 대응은 여러 잠재적인 비대칭 대응책 중 하나이며 이란 정보기관이나 군사 단체, 그들의 계약자 또는 다른 대리인에 의해 직접 수행될 수 있습니다. 이러한 조치는 첩보 활동을 통해 얻은 이전 액세스 권한과 정보를 통해 추진될 가능성이 매우 높습니다. 이러한 침입을 특정하고 다른 기회주의적 침입과 구별하기란 어려울 수 있습니다.

또한, 최근 기록된 러시아 국가 후원 단체들이 이란의 인프라를 해킹하고 사이버 작전에 활용했다는 사례들은 이란의 간첩 활동이나 파괴적 행위를 추적하고 귀속시키는 데 추가적인 불확실성을 초래했습니다. 우리는 이 인프라 탈취와 증가하는 불확실성이 사건이 잘못 귀속되거나 오해되어 에스컬레이션으로 해석될 가능성을 높인다고 평가합니다. 중동에는 미국과 그 동맹국, 이란과 그 대리세력 외에도 다양한 이해관계를 가진 주체들이 존재합니다. 러시아가 이란으로 위장한 작전을 통해 추가적인 불확실성을 초래할 경우, 사이버 침입 이후 혼란이나 혼란스러운 분위기가 조성될 수 있습니다. 이것은 러시아가 이란의 사이버 운영 인프라를 어느 정도 침해했는지 알지 못하기 때문에 오인 및 오판으로 인한 오판의 가능성을 높입니다.

제안된 완화 조치

• APT33은 계속해서 동적 DNS(DDNS) 호스팅을 선호하며, Recorded Future의 무기화된 도메인 보안 제어 피드는 이러한 도메인을 식별하고 차단하는 데 사용할 수 있습니다.
• Recorded Future는 명령 및 제어 보안 제어 피드(Command and Control Security Control Feed)에서 악의적인 서버 구성을 사전에 탐지하고 기록합니다.
• 레코딩된 미래는 조직이 동일한 IP에서 다른 계정에 대한 순차적인 로그인 시도를 모니터링할 것을 권장합니다. 이러한 유형의 활동은 기존의 무차별 대입보다 탐지하기가 더 어렵지만 APT33이 선호하는 전술로부터 조직을 보호하는 데 도움이 됩니다.
• 멀티팩터 인증의 도입은 역사적으로 높은 수준의 크리덴셜 스터핑 및 비밀번호 스프레이 공격을 경험한 많은 조직에서 매우 효과적인 방어 방법임이 입증되었습니다.
• 범죄 지하 커뮤니티에서 조직을 표적으로 삼는 새로운 설정 파일이 있는지 모니터링하고, 해당 파일을 확보하여 추가 공격 지표가 있는지 철저히 분석하세요.
• 최종 사용자는 비밀번호 관리자를 사용하고 각 온라인 계정에 고유한 강력한 비밀번호를 설정하여 비밀번호 스프레이로 인한 피해를 줄일 수 있습니다.
• 회사 직원을 대상으로 한 사회 공학 교육은 비밀번호 스프레이 및 공격에 사용된 정보가 공개되어 조직에 가해지는 위협을 완화하는 데 도움이 될 수 있습니다.
• 로그 분석(IDS를 통한)은 여러 사용자 계정에서 실패한 로그인 시도를 식별하는 데 도움이 될 수 있습니다. 로그 데이터를 상호 참조하면 빈도가 높은 잠금, 승인되지 않은 원격 액세스 시도, 여러 사용자 계정에서 시간적 공격이 겹치는 경우, 지문 고유 웹 브라우저 에이전트 정보와 관련된 사고를 탐지하는 데 도움이 될 수 있습니다.