중국 APT, 글로벌 통신사와 정부 대상 SaaS API 악용 스파이 활동

중국 국가 지원 위협 행위자, 글로벌 스파이 활동에서 SaaS API 악용

구글의 위협 인텔리전스 그룹(GTIG)과 맨디언트(Mandiant)는 산업 파트너들과 협력하여, 중국 고급 지속 위협(APT) 행위자로 추정되는 집단에 의한 정교한 사이버 스파이 활동을 차단했습니다. 이 공격은 전 세계 통신 서비스 제공업체와 정부 기관을 대상으로 SaaS API 악용 기법을 사용하여 악성 트래픽을 정상 네트워크 활동에 은폐했습니다.

주요 발견 사항 및 기술적 세부 정보

맨디언트가 UNC5537로 추적하는 위협 행위자는 **소프트웨어-as-a-서비스(SaaS) 애플리케이션 프로그래밍 인터페이스(API)**를 악용하여 악성 통신을 정상 트래픽과 혼합했습니다. 이 기법은 공격자들이 감지를 회피하면서 침해된 네트워크에서 민감한 데이터를 유출할 수 있도록 했습니다.

• 공격 대상: 여러 지역에서의 수십 개 통신사 및 정부 기관.
• 전술, 기법 및 절차(TTPs):
  • SaaS API 악용: 공격자들은 합법적인 SaaS 플랫폼 API를 사용하여 명령 및 제어(C2) 통신을 은폐했습니다.
  • 지속성 메커니즘: 공격자들은 침해된 자격 증명과 백도어를 통해 피해자 네트워크에 대한 접근을 유지했습니다.
  • 데이터 유출: 통화 기록 및 내부 통신 등 민감한 정보가 캠페인 중에 유출되었을 가능성이 높습니다.

구글과 맨디언트는 공격과 관련된 특정 CVE ID를 공개하지 않았지만, 이 사건은 사이버 스파이 활동에서 API 기반 위협의 증가 추세를 강조합니다. 조직에서 신뢰하는 SaaS 플랫폼은 전통적인 보안 통제를 우회하려는 위협 행위자에게 매력적인 공격 벡터를 제공합니다.

영향 분석

이 캠페인이 통신 서비스 제공업체와 정부 기관을 대상으로 한 것은 정보 수집 및 감시에 대한 전략적 관심을 시사합니다. 침해된 통신 네트워크는 공격자가 다음을 수행할 수 있게 합니다:

• 고가치 대상의 통신 감시.
• 지정학적 긴장이 고조될 경우 핵심 인프라 교란.
• 경쟁적 또는 전략적 이점을 위한 독점 또는 기밀 정보 도용.

SaaS API 악용의 사용은 APT 전술의 변화를 보여주며, 전통적인 탐지 방법(예: 시그니처 기반 모니터링)은 합법적인 API 호출로 위장한 악성 트래픽을 식별하지 못할 수 있습니다.

보안 팀을 위한 권고 사항

특히 통신 및 정부 부문의 조직은 유사한 위협을 완화하기 위해 다음 단계를 수행해야 합니다:

1. API 보안 강화

   • SaaS API 사용에 대해 요율 제한, 인증 및 이상 탐지를 구현합니다.
   • 데이터 유출을 나타낼 수 있는 비정상적인 API 호출 패턴을 모니터링합니다.

2. 자격 증명 위생 강화

   • 모든 권한 있는 계정에 대해 **다중 요소 인증(MFA)**을 적용합니다.
   • 침해된 계정을 탐지하기 위해 정기적으로 자격 증명 감사를 수행합니다.

3. 네트워크 모니터링 개선

   • 암호화된 SaaS 채널 내에서도 비정상적인 트래픽 흐름을 탐지하기 위해 행동 분석을 배포합니다.
   • 위협 행위자의 횡적 이동을 제한하기 위해 핵심 네트워크를 세그먼트화합니다.

4. 위협 인텔리전스 통합

   • 맨디언트 및 구글 위협 인텔리전스 피드를 활용하여 새로운 TTP에 대한 최신 정보를 유지합니다.
   • 집단 방어력을 향상시키기 위해 산업 파트너와 **침해 지표(IOC)**를 공유합니다.

결론

이 캠페인의 차단은 국가 지원 사이버 스파이 활동의 진화, 특히 신뢰할 수 있는 SaaS 플랫폼의 악용을 보여줍니다. 위협 행위자가 기법을 정교화함에 따라, 조직은 이러한 정교한 공격을 대응하기 위해 적극적인 API 보안 조치와 고급 위협 탐지를 채택해야 합니다.

자세한 내용은 BleepingComputer의 원본 보고서를 참조하십시오.