1. 사건 개요

2024년 1월, MITRE의 보안팀은 조직의 연구, 개발 및 프로토타이핑에 사용되는 협업 네트워크인 NERVE(Networked Experimentation, Research, and Virtualization Environment)에서 이상 활동을 발견했다. MITRE는 보안 사고임을 인지하고 NERVE 환경을 오프라인으로 전환하는 등 즉각적인 조치를 취했으며, 사고 조사를 통해 확인된 초기 세부 정보를 공유하였다.

공격자들은 Ivanti Connect Secure의 두 개의 취약점을 이용해 MITRE의 가상 사설망(VPN)을 침투하고 세션 하이재킹을 통해 다중 인증 요소를 우회했다. 이후, 관리자 계정을 이용하여 VMware 인프라에 접근하는 데 성공했다. 또한, 공격의 지속성 확보와 자격증명 수집을 위해 백도어와 웹쉘을 활용한 것으로 드러났다.

MITRE는 조사가 진행됨에 따라 추가 정보를 공유함으로써 비슷한 위협에 직면한 다른 기관들이 대응을 강화할 수 있도록 지원하겠다고 밝혔다.

2. 확인된 ATT&CK

MITRE는 공격에 대한 포괄적인 이해를 돕기 위해 공격자가 초기 활용한 ATT&CK을 공유하였다.

3. 사고 대응 조치

MITRE는 사고 대응을 위해 다음과 같은 조치를 취했다고 밝혔다.

- 공격의 추가 확산을 방지하기 위해 영향을 받은 시스템과 네트워크 세그먼트 격리

- 효과적인 대응과 복구를 위해 임시 위원회 구성

- 침해 정도, 공격자가 사용하는 기술, 공격이 연구 및 프로토타이핑 네트워크로 제한되었는지 아니면 더 확산되었는지를 식별하기 위해 여러 포렌식 분석 스트림을 시작

- 신속하게 대체 플랫폼을 식별하고, 각 플랫폼에 대해 철저한 보안 감사를 수행

- 프로젝트가 새로운 시스템으로 마이그레이션되는 절차를 확립

- 포렌식 조사를 통해 영향을 받은 시스템에서 정보를 수집하기 위해 새로운 센서 제품군을 신속하게 배포

- 손상된 시스템, 파트너 및 법 집행 기관에서 얻은 침해 지표를 활용하여 네트워크의 다른 부분에서 위협 사냥 노력 강화

4. 대응 전략

MITRE는 공격 탐지 및 대응을 위해 다음과 같은 전략을 제시하였다.

- 비정상적인 패턴의 VPN 트래픽 모니터링

- 리소스에 접근하는 사용자 행위 분석

- 내부 확산을 제한하기 위해 네트워크 분할

- 악성 IP, 도메인 또는 해시를 식별하기 위해 위협 인텔리전스 업데이트

- 공격자(그룹)의 TTP를 확보하기 위해 허니팟 구축

- 다단계 인증과 접근 제어 강화

- 시스템과 소프트웨어를 최신 버전으로 업데이트하여 취약점 완화

- 정기적인 보안 평가 및 침투 테스트로 시스템 취약점 식별 및 해결

- 사이버 보안 모범 사례 및 위협 인식의 중요성을 강화하기 위한 직원 교육

출처

https://www.mitre.org/news-insights/news-release/mitre-response-cyber-attack-one-its-rd-networks

https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

보안관제센터 MIR Team