러시아 해커들이 Azure 서비스를 이용해 Microsoft 365 계정을 해킹하다

사이버 보안 회사 Mandiant의 연구원들은 국가 지원을 받는 러시아 해킹 그룹 APT29, 일명 Cozy Bear 또는 Nobelium이 미국 및 NATO 소속 조직의 Microsoft 365 계정을 대상으로 민감한 데이터를 훔치기 위한 스파이 활동을 활발히 진행하고 있음을 발견했습니다.

Mandiant는 2014년부터 APT29를 추적해 왔으며, 러시아 스파이 그룹이 “새로운 전술을 사용하고 Microsoft 365를 공격하는 데 있어 예외적인 운영 보안 및 회피를 보여주는 공격을 적극적으로 목표로 하고 있다”고 지적했습니다.

회사는 목요일에 발표된 보고서에서 APT29의 새로운 고급 TTP(전술, 기술 및 절차)를 강조했습니다.

위협 행위자에게 가장 골치 아픈 로깅 보안 기능 중 하나는 Microsoft 365 제품군의 고급 보안 기능인 Purview Audit입니다. 이 기능은 E5 라이센스 및 특정 추가 기능과 함께 제공되며, 메일 항목 접근 감사(Mail Items Accessed audit)를 활성화합니다. 메일 항목 접근 감사는 프로그램(Outlook, 브라우저, Graph API)과 관계없이 메일 항목에 접근할 때마다 사용자 에이전트 문자열, 타임스탬프, IP 주소 및 사용자를 기록합니다.

Mandiant는 APT29가 손상된 테넌트의 대상 계정에서 Purview Audit를 비활성화하여 이메일 수집을 위해 받은 편지함을 목표로 삼을 수 있었음을 관찰했습니다.

“비활성화되면, 그들은 이메일 수집을 위해 받은 편지함을 목표로 삼기 시작합니다. 이 시점에서 조직은 위협 행위자가 이메일 수집을 위해 어떤 계정을 목표로 삼았는지, 언제 목표로 삼았는지를 확인할 수 있는 로깅이 없습니다. APT29의 목표 및 TTP를 고려할 때, Mandiant는 Purview Audit 비활성화 후 이메일 수집이 가장 가능성이 높은 활동이라고 믿고 있습니다.”라고 Mandiant가 발표한 보고서에 적혀 있습니다.

“우리는 Microsoft 365에 대한 수정 및 강화 전략에 대한 백서에 이 기술에 대한 더 많은 세부정보와 탐지 및 수정 조언을 포함하도록 업데이트했습니다. 또한, 고급 감사가 비활성화된 사용자에 대한 보고를 위한 새로운 모듈로 Azure AD 조사기를 업데이트했습니다.”

연구원들은 또한 APT29가 Azure Active Directory(AD)에서 다단계 인증(MFA)을 위한 자가 등록 프로세스를 이용하는 또 다른 고급 전술을 발견했습니다.

이 방법은 Azure AD의 기본 구성에서 새로운 MFA 등록에 대한 엄격한 시행이 없음을 악용합니다. 즉, 사용자 이름과 비밀번호를 아는 누구나 첫 번째로 MFA를 등록하는 한, 어떤 위치와 어떤 장치에서든 계정에 접근할 수 있습니다.

“한 사례에서 APT29는 알 수 없는 방법으로 얻은 메일박스 목록에 대해 비밀번호 추측 공격을 수행했습니다. 위협 행위자는 설정되었지만 사용되지 않은 계정의 비밀번호를 성공적으로 추측했습니다. 계정이 비활성 상태였기 때문에 Azure AD는 APT29에게 MFA 등록을 요청했습니다. MFA에 등록한 후 APT29는 Azure AD를 인증 및 MFA에 사용하는 조직의 VPN 인프라에 접근할 수 있었습니다.”라고 보고서는 계속합니다.

마지막으로, Mandiant는 APT29가 Azure 가상 머신(VM)을 사용하는 것을 관찰했습니다. APT29가 사용하는 가상 머신은 피해 조직 외부의 Azure 구독에 존재합니다. 위협 행위자 그룹이 이러한 구독을 손상시켰는지 또는 구매했는지는 불분명합니다.

이 그룹은 또한 자신의 악의적인 행동과 혼동을 주기 위해 무해한 관리 작업을 혼합하는 것으로 관찰되었습니다.

“예를 들어, 최근 조사에서 APT29는 Azure AD에서 글로벌 관리자 계정에 접근했습니다. 그들은 이 계정을 사용하여 ApplicationImpersonation 권한이 있는 서비스 주체에 백도어를 설치하고 테넌트의 대상 메일박스에서 이메일을 수집하기 시작했습니다.”라고 보고서는 덧붙였습니다.

추가된 후 APT29는 서비스 주체로서 Azure AD에 인증하고 그 역할을 사용하여 이메일을 수집할 수 있었습니다. APT29는 백도어 서비스 주체의 표시 이름과 일치하는 공통 이름(CN)으로 인증서를 생성하고 새로운 애플리케이션 주소 URL을 추가했습니다.

“APT29는 기술적 기법을 개발하고 엄격한 운영 보안에 대한 헌신을 계속하고 있습니다. Mandiant는 APT29가 Microsoft 365에 접근하기 위한 기술 및 전술 개발에 발맞추어 계속할 것으로 예상합니다.”라고 보고서는 결론을 내립니다.