러시아 국가 해커 그룹 APT28이 "최근접 이웃 공격"이라는 새로운 기법을 활용해 수천 마일 떨어진 미국 기업의 엔터프라이즈 와이파이 네트워크를 침투했습니다. 이 공격은 2022년 2월 4일에 발견되었으며, APT28은 먼저 와이파이 범위 내의 인근 조직을 침해한 후 목표로 이동했습니다. 이 해커 그룹은 먼저 피해자의 공개 서비스를 대상으로 패스워드 스프레이 공격을 통해 목표의 엔터프라이즈 와이파이 네트워크 자격 증명을 획득했습니다.
하지만 다중 요소 인증(MFA) 보호의 존재로 인해 공개 웹을 통한 자격 증명의 사용이 방해되었습니다. 그래서 해커들은 창의적으로 대상 무선 네트워크로 피벗할 수 있는 인근 건물의 조직을 찾기 시작했습니다. 이들은 또 다른 조직을 침해하고, 유선과 무선 연결을 모두 가진 이중 홈 장치를 찾아 대상의 엔터프라이즈 와이파이에 연결할 수 있도록 했습니다.
Volexity는 APT28이 이 공격의 일환으로 여러 조직을 침해하고, 유효한 접근 자격 증명을 사용해 연결을 연쇄적으로 이어갔다는 것을 발견했습니다. 해커들은 원격 데스크톱 연결(RDP)을 통해 대상 네트워크에서 수평 이동을 하며 관심 있는 시스템을 찾고 데이터를 추출했습니다.
요약
- 러시아 국가 해커 그룹 APT28이 미국 기업의 엔터프라이즈 와이파이 네트워크를 침투했다.
- 해커들은 인근 건물의 조직을 창의적으로 활용하여 대상 무선 네트워크로 이동했다.
- Volexity는 APT28이 여러 조직을 침해하고, 유효한 접근 자격 증명을 사용해 연결을 연쇄적으로 이어갔다는 것을 발견했다.
- 해커들은 원격 데스크톱 연결을 통해 대상 네트워크에서 수평 이동을 하며 관심 있는 시스템을 찾고 데이터를 추출했다.
- 이 공격은 "최근접 이웃 공격"이라는 새로운 기법을 활용한 것으로, 물리적으로 식별되거나 잡히는 위험을 제거하면서 가까운 접근 작업을 수행할 수 있음을 보여준다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.