[5-3] 코스타리카 정부 기관 해킹 / MITRE ATT&CK와 SIEM

이번주 취약점/패치: Microsoft 😉 금주의 침해, 해킹, 스쿼팅, 피싱 도메인, 크리덴셜 탈취정보는 QRadar Newsletter로 확인하세요.    Korean news Briefing   중미의 코스타리카 정부 기관들이 한달 동안 랜섬웨어 해킹 공격을 잇따라 당하면서 정부가 11일 비상사태를 선포했습니다. 차베스 대통령은 비상사태를 선포하면서 코스타리카가 ‘사이버 범죄’와 ‘사이버 테러’를 당하고 있다고 이야기 하였습니다. 코스타리카에 대한 해킹 공격은 지난달 재무부의 과세 시스템과 통관·관세 업무 시스템이 공격을 당하면서 시작되었고, 이어 사회보장 기관의 인적자원 관리 시스템과 노동부 등으로 공격이 확대되었습니다. 현재 러시아어를 쓰는 해킹 집단 ‘콘티’는 자신들이 코스타리카를 공격했다고 주장하고 있습니다.    섹터A01 그룹은 금융, 보험, 군수 산업에 속한 기업으로 위장해 ‘사업제안서’, ‘채용’ 등의 주제를 활용한 MS 워드 형식의 악성코드를 유포했습니다. 해당 악성코드는 정상적으로 실행될 경우 악의적인 매크로가 삽입돼 있어 추가 악성코드를 실행하고 시스템 권한을 탈취합니다. 섹터A02 그룹과 섹터A05 그룹은 각각 대한민국의 대선과 관련된 주제와 대북과 관련된 제목으로 한 한글파일 형태의 악성코드를 유포했는데 특히, 섹터A05 그룹이 공공기관 종사자에게 전송한 스피어피싱 이메일 본문에는 핵무장 관련 전문가 좌담회 관련한 MS 워드 파일 형식의 악성코드를 첨부했습니다.  ▶ 데일리 보안뉴스 Top 5 이 메일이 잘 안보이시나요? Let's do intelligence Security    MITRE ATT&CK 위협프레임워크는 오늘날 어디에나 있는것 처럼 보이고, 분명히 존재하는 목적과 이유가 있습니다. 이 툴은 위협 행위자가 사용하는 전술 및 기술을 다양하게 이해하는데 매우 유용한 도구입니다. 이 프레임워크는 위협탐지 방법에 대한 자세하고 세분화된 방법을 제공하며, 이를 통해 데이터를 유용하고 유익한 방식으로 시각화할 수 있는 기능을 제공합니다. 위협 인텔리전스, 위협 탐지, 빨간색/파란색/보라색과 같은 위협 분류로 기업보안 내에서 다양한 측면을 지원하는데 사용할 수 있습니다. 또한 전략적 사고와 계획에 대한 정보도 제공할 수 있습니다.   위협 탐지 공간, 특히 SIEM 내의 탐지룰 부분에서 MITRE ATT&CK를 가장 잘 활용하는 방법에 알아 보기 위해서는 ATT&CK이 잘하는 것과 한계가 있는 부분을 이해해야 합니다. ATT&CK은 위협 행위자가 기업의 환경에 침범하려고 할때 시도할 수 있는 잘 알려진 방법의 구성하도록 합니다. 이러한 방법을 통해 기업은 현재 탐지할 수 있는 위협과 부족한 탐지기능을 결정한 다음 이상과의 격차를 좁힐 계획을 세울 수 있습니다.  ▶ MITRE ATT&CK와 SIEM Vulnerability in detail Microsoft  - May 2022 ▶75 fixes for security vulnerabilities across the company's product QRadar Update   IBM 제품패치 사이트변경에 따른 사용자 공지  ▶Firewalls and Proxies for the upcoming infrastructure changes on IBM Electronic Fix Distribution / IBM Fix Central system SIEM 주요 앱 및 컨텐츠 팩  ▶VMWare Carbon Black EDR App  SOAR 주요 앱 및 컨텐츠 팩▶Microsoft Security Graph Integration 당신이 해커들의 다음 공격타겟이라면, 무엇을 하시겠습니까?  X-Force는 당신의 기업데이터에 대한 다크웹 노출여부를 모니터링하고, 실제 침해사고 발생시 경로파악 및 데이터유출에 대한 보안대응을 24시간 내에 지원합니다.