UNC3944 방어하기: 최전선에서 얻은 사이버 범죄 강화 지침

* 해당 블로그의 원문은 2025년 5월 7일 Google Cloud 블로그(영문)에 게재되었습니다. 

배경

UNC3944(일명 Scattered Spider)는 사회 공학 기법을 끈질기게 사용하고 피해자와 뻔뻔하게 소통하는 것으로 특징지어지는, 금전적 동기를 가진 위협 그룹입니다. 이들은 초기 작전에서는 주로 SIM 스왑을 지원하기 위해 통신 관련 조직을 노렸습니다. 하지만 2023년 초 랜섬웨어 및 데이터 탈취 강탈로 전환하면서 더 광범위한 산업의 조직에 영향을 미쳤습니다. 이후 UNC3944는 2023년 후반의 금융 서비스 조직, 2024년 5월의 식품 서비스와 같이 특정 부문에 대한 공격을 주기적으로 감행하는 것이 관찰되었습니다. 특히 UNC3944는 언론의 주목을 받고 명성을 얻으려는 시도였을 것으로 보이는 유명 브랜드도 공격한 전례가 있습니다.

Google 위협 인텔리전스 그룹(GTIG)은 2024년 UNC3944와 연루된 것으로 알려진 개인들에 대한 법 집행 조치 이후 UNC3944 활동이 감소한 것을 확인했습니다. 위협 행위자들은 체포 후 법 집행 기관의 주의를 줄이고, 역량 및/또는 파트너십을 재구축하거나, 탐지를 피하기 위해 새로운 도구로 전환하기 위해 일시적으로 또는 상당히 작전을 중단하거나 축소하는 경우가 많습니다. UNC3944가 광범위한 위협 행위자 커뮤니티와 기존 유대 관계를 맺고 있다는 점은 법 집행 조치로부터 더 빨리 회복하는 데 도움이 될 수 있습니다.

최근 공개된 보고서에 따르면 위협 행위자들이 Scattered Spider와 일치하는 전술을 사용하여 영국 소매 조직을 표적으로 삼고 DragonForce 랜섬웨어를 배포했다고 합니다. BBC 뉴스에 따르면 DragonForce와 관련된 행위자들이 여러 영국 소매업체에 대한 공격 시도에 대해 책임을 주장했습니다. 특히 DragonForce 랜섬웨어 운영자들은 올해 3월 운영을 중단한 것으로 보이는 서비스형 랜섬웨어(RaaS)인 RansomHub의 통제권을 최근 주장했습니다. UNC3944는 ALPHV (일명 Blackcat) RaaS가 폐쇄된 후 2024년에 RansomHub 제휴사였습니다. GTIG는 UNC3944 또는 DragonForce RaaS의 개입을 독립적으로 확인하지는 않았지만, 지난 몇 년 동안 소매 조직은 피해자에게 압력을 가하거나 탈취된 피해자 데이터를 유출하는 데 사용되는 추적된 데이터 유출 사이트(DLS)에 점점 더 많이 게시되었습니다. 2025년 현재까지 소매 조직은 DLS 피해자의 11%를 차지했으며, 이는 2024년 약 8.5%, 2022년과 2023년에는 6%에서 증가한 수치입니다. UNC3944를 포함한 위협 행위자들이 소매 조직을 매력적인 대상으로 보는 것은 이들이 일반적으로 대량의 개인 식별 정보(PII) 및 금융 데이터를 보유하고 있기 때문입니다. 또한, 랜섬웨어 공격이 금융 거래 처리 능력에 영향을 미치면 이들 기업은 랜섬 요구를 지불할 가능성이 더 높을 수 있습니다.

Google은 UNC3944의 피해자들에게서 다음과 같은 특징적인 패턴을 발견했습니다:

• 주요 공격 산업: 이 그룹은 다양한 산업을 공격하지만, 특히 기술, 통신, 금융 서비스, 비즈니스 프로세스 아웃소싱(BPO), 게임, 숙박, 소매, 미디어 및 엔터테인먼트 기업에 집중하는 경향이 있습니다.

• 지리적 공격 범위: 주로 미국, 캐나다, 영국, 호주 등 영어를 사용하는 국가를 노립니다. 최근 캠페인에는 싱가포르와 인도의 대상도 포함되었습니다.

• 피해 기업 규모: UNC3944는 주로 대규모 기업 조직을 공격하는데, 이는 더 큰 영향력과 높은 몸값 요구 가능성 때문으로 보입니다. 특히 대규모 헬프데스크 및 아웃소싱 IT 기능을 가진 조직이 이들의 사회 공학적 전술에 취약하여 집중적인 표적이 됩니다.

다음 그림은 UNC3944의 전술, 기술 및 절차(TTP)에 대한 개요를 보여줍니다.

선제적 방어 강화 권고안

UNC3944의 전술로부터 조직을 보호하기 위한 우선순위 권고안을 다음과 같은 핵심 영역별로 정리했습니다.

• 계정(Identity)

• 엔드포인트(Endpoints)

• 애플리케이션 및 리소스(Applications and Resources)

• 네트워크 인프라(Network Infrastructure)

• 모니터링 / 탐지(Monitoring / Detections)

이 가이드에 제시된 모든 권고안을 구현하면 IT 및 일반 운영에 일부 영향을 미칠 수 있지만, Mandiant가 UNC3944 방어, 차단 및 제거를 위해 조직을 지원해 온 광범위한 경험에 따르면 효과적인 시작점은 특정 영역의 우선순위를 정하는 것입니다. 조직은 다음 권고안에 중점을 두는 것부터 시작해야 합니다.

• 모든 인프라, 계정 및 중요 관리 서비스에 걸쳐 완벽한 가시성을 확보하세요.

• 인프라 전반에 걸쳐 계정 분리를 확실히 하세요.

• 강력한 인증 기준을 강화하세요.

• 비밀번호 재설정 및 다단계 인증(MFA) 등록에 대한 엄격한 계정 제어를 시행하세요.

• 현대의 사회 공학 공격/캠페인에 대한 지속적인 경계의 중요성을 교육하고 소통하세요 (이 게시물의 뒷부분에 있는 사회 공학 인식 섹션 참조). UNC3944 캠페인은 최종 사용자뿐만 아니라 기업 환경 내의 IT 및 관리 인력도 노립니다.

이러한 권고안은 이 가이드의 다른 권고안들이 구축될 수 있는 중요한 기반 조치 역할을 합니다.

계정 (Identity)

정확한 신원 확인

UNC3944는 사회 공학 기법을 사용하여 헬프 데스크에 연락할 때 사용자를 사칭하는 데 매우 능숙한 것으로 입증되었습니다. 따라서 "정확한 신원 확인" 프로세스를 더욱 강화하는 것이 중요합니다.

• 헬프 데스크 직원이 보안 정보(최초 등록 포함)를 수정하거나 제공하기 전에 직원을 정확하게 식별하도록 교육해야 합니다. 최소한 이 프로세스는 모든 권한 있는 계정에 대해 필요하며 다음 방법을 포함해야 합니다:

  • 화상/대면 확인

  • 신분증 확인

  • 질의/응답 질문

• 침해가 임박했거나 발생한 것으로 의심되는 경우, 셀프 서비스 비밀번호 재설정 방법을 일시적으로 비활성화하거나 유효성 검사를 강화하세요. 모든 계정 관리 활동은 첫 번째 단계로 정확한 신원 확인을 요구해야 합니다. 또한, 직원은 인증 방법을 변경하기 전에(예: 새 MFA 장치 추가) 강력한 인증을 사용하여 인증해야 합니다. 추가적으로 다음을 구현하세요:

  • 신뢰할 수 있는 위치 사용

  • 인증/보안 변경 알림

  • 고위험 변경에 대한 대역 외(Out-of-band) 확인. 예를 들어, 민감한 요청을 진행하기 전에 등록된 번호로 콜백하거나 알려진 회사 이메일을 통한 확인을 요구하세요.

• 공개적으로 사용 가능한 개인 데이터(예: 생년월일, 주민등록번호 뒷 4자리)에 의존하는 확인을 피하세요. UNC3944는 이러한 정보를 자주 소유하고 있습니다. 가능한 경우 내부 전용 지식이나 실시간 존재 확인을 사용하세요.

• 위협 수준이 높아지는 기간에는 셀프 서비스 MFA 재설정을 일시적으로 비활성화하고, 모든 변경 사항은 강화된 조사를 통해 수동 헬프 데스크 워크플로우를 거치도록 하세요.

강력한 인증 

사회 공학 또는 인증 제어를 우회하는 데 사용되는 다른 방법을 방지하려면:

• SMS, 전화 통화 및/또는 이메일을 인증 제어에서 제거하세요.

• 피싱 방지 MFA(예: 숫자 일치 및/또는 지리 확인)를 요구하는 인증 앱을 활용하세요.

• 가능하면 비밀번호 없는 인증으로 전환하세요.

• FIDO2 보안 키를 활용하여 권한 있는 역할을 할당받은 계정을 인증하세요.

• 관리 사용자가 하위 등급 사용자에게 허용되는 레거시 MFA 방법을 등록하거나 사용할 수 없도록 보장하세요.

• 인증 트랜잭션을 풍부하게 하기 위해 다중 컨텍스트 기준을 적용하세요. 예를 들어, 신원뿐만 아니라 특정 장치 및 위치 속성도 인증 트랜잭션의 일부로 검증하는 것을 포함합니다.

MFA 등록 및 수정 

공격자가 제어하는 MFA 방법을 수정하고 등록하기 위해 침해된 자격 증명이 활용되는 것을 방지하려면:

• 사용자 등록에 사용할 수 있는 인증 방법을 검토하고 불필요하거나 중복되는 방법을 허용하지 마세요.

• MFA 등록 및 수정 작업이 신뢰할 수 있는 IP 위치 및 장치 규정 준수에 기반하여 허용되도록 제한하세요. Microsoft Entra ID를 활용하는 조직의 경우 조건부 액세스 정책을 사용하여 이를 수행할 수 있습니다.

• 침해가 발생한 것으로 의심되는 경우, MFA 재등록이 필요할 수 있습니다. 이 작업은 회사 위치 및/또는 신뢰할 수 있는 IP 위치에서만 허용되어야 합니다.

• MFA 요구 사항을 우회할 수 있는 특정 IP 위치를 검토하세요. Microsoft Entra ID를 사용하는 경우, 이는 명명된 위치 및 레거시 서비스 설정에 있을 수 있습니다.

• 동일한 MFA 방법 또는 전화번호가 여러 사용자 계정에 등록된 경우를 조사하고 경고하세요. 이는 공격자가 제어하는 장치 등록을 나타낼 수 있습니다.

관리 역할

권한 상승 및 환경에 대한 추가 액세스를 방지하려면:

• 권한 있는 액세스의 경우, 조직의 신원 저장소(예: Active Directory)를 인프라 플랫폼, 서비스 및 클라우드 관리 콘솔에서 분리하세요. 조직은 로컬 관리자 계정(예: 로컬 VMware VCenter Admin 계정)을 생성해야 합니다. 로컬 관리자 계정은 다음 원칙을 준수해야 합니다:

  • 길고 복잡한 비밀번호로 생성

  • 비밀번호는 조직의 비밀번호 관리 또는 볼트 솔루션에 임시로 저장되지 않아야 함

  • 다단계 인증(MFA) 적용

• 관리 포털이 신뢰할 수 있는 위치와 권한 있는 계정으로만 액세스할 수 있도록 제한하세요.

• 권한 있는 작업과 관련된 자격 증명을 활용("체크아웃")하기 위해 Just-in-Time 제어를 활용하세요.

• 클라우드 리소스에 액세스하고 관리하기 위해 최소 권한 원칙을 따르는 액세스 제한 및 경계를 적용하세요.

플레이북

현대 인증은 단일 비밀번호 이상의 것을 기반으로 합니다. 따라서 조직은 프로세스 및 관련 플레이북에 다음 단계를 포함하도록 해야 합니다:

• 토큰 및 액세스 키 취소

• MFA 장치 등록 검토

• 인증 요구 사항 변경 사항 검토

• 새롭게 등록된 장치 및 엔드포인트 검토

엔드포인트

장치 규정 준수 및 유효성 검사

인증 트랜잭션은 강력한 신원 확인 요구 사항뿐만 아니라 장치 인증 및 유효성 검사를 요구해야 합니다. 조직은 다음 기능을 고려해야 합니다:

• 환경에 원격으로 연결하는 장치(예: VPN을 통해)에 대한 자세 확인(Posture Check)을 적용하세요. 장치에 대한 자세 확인 예시는 다음과 같습니다:

  • 각 엔드포인트에 필수 호스트 기반 인증서 설치 유효성 검사.

  • 엔드포인트가 승인된 운영 체제(OS)에서 작동하고 버전 요구 사항을 충족하는지 확인.

• 조직의 엔드포인트 탐지 및 응답(EDR) 에이전트가 설치되어 활성화되어 있는지 확인. 모든 관리 엔드포인트 장치에 EDR 설치 및 모니터링을 적용하세요.

무단/악성 엔드포인트 

위협 행위자가 무단 엔드포인트를 활용하여 환경에 액세스하는 것을 방지하려면, 조직은 다음을 수행해야 합니다:

• 새로 생성되거나 최근에 관리 도메인에 가입된 악성 배스천 호스트 또는 가상 머신을 모니터링하세요.

• 장치가 Entra 또는 온프레미스 Active Directory에 가입할 수 있는 기능을 제한하도록 정책을 강화하세요.

• 기본 Windows 호스트 이름을 포함하는 장치에 대한 인증 로그를 검토하세요.

측면 이동 강화 

침해된 자격 증명을 사용하여 측면 이동하는 것을 방지하려면, 조직은 다음을 수행해야 합니다:

• 로컬 계정이 원격(네트워크 기반) 인증에 사용될 수 있는 기능을 제한하세요.

• 로컬 관리 및/또는 숨겨진 공유가 원격으로 액세스될 수 있는 것을 비활성화하거나 제한하세요.

• 인바운드 SMB, RDP, WinRM, PowerShell 및 WMI를 차단하도록 로컬 방화벽 규칙을 적용하세요.

GPO: 사용자 권한 할당 잠금 (Active Directory) 

도메인 기반 권한 있는 계정 및 서비스 계정의 경우, 가능한 경우 조직은 계정이 엔드포인트에 대한 원격 인증에 활용될 수 있는 기능을 제한해야 합니다. 이는 다음 사용자 권한 할당에 대한 그룹 정책 개체(GPO) 구성을 사용하여 달성할 수 있습니다:

• 로컬 로그온 거부

• 원격 데스크톱 서비스를 통한 로그온 거부

• 네트워크에서 이 컴퓨터에 대한 액세스 거부

• 일괄 작업으로 로그온 거부

• 서비스로 로그온 거부

애플리케이션 및 리소스

가상 사설망 (VPN) 액세스

위협 행위자는 보안 팀의 네트워크 가시성을 제한하기 위해 VPN 에이전트를 변경하거나 비활성화하려고 시도할 수 있습니다. 따라서 조직은 다음을 수행해야 합니다:

• 최종 사용자가 VPN 에이전트 구성을 수정할 수 있는 기능을 비활성화하세요.

• VPN 에이전트 구성이 변경될 때 적절한 로깅이 이루어지도록 확보하세요.

• 관리되는 장치의 경우, 지속적인 보호를 위해 "Always-On" VPN 구성을 고려하세요.

권한 있는 액세스 관리(PAM) 시스템 

위협 행위자가 PAM 시스템에 액세스하려는 시도를 방지하려면, 조직은 다음을 수행해야 합니다:

• 엔터프라이즈 비밀번호 관리자 또는 PAM 시스템에 대한 네트워크 및 계정 액세스 제한을 격리하고 적용하세요. 여기에는 엔터프라이즈 인프라 및 가상화 플랫폼과 격리된 PAM 시스템을 위한 전용 및 분할된 서버/어플라이언스 활용도 포함되어야 합니다.

• 강력한 인증(MFA)을 요구하는 것 외에, PAM 시스템에 액세스할 수 있는 계정의 범위를 축소하세요.

• 할당된 역할에 따라 액세스할 수 있는 계정의 범위를 제한하는 PAM 시스템 내에서 역할 기반 액세스 제어(RBAC)를 적용하세요.

• PAM 시스템에 저장된 자격 증명 체크아웃을 위해 Just-in-Time(JIT) 액세스 원칙을 따르세요.

가상화 인프라 

위협 행위자가 가상화 인프라에 액세스하려는 시도를 방지하려면, 조직은 다음을 수행해야 합니다:

• ESXi 호스트 / vCenter 서버 어플라이언스에 대한 액세스를 격리하고 제한하세요.

• 가상 머신 백업이 가능한 경우 격리되고 안전하며 불변임을 확인하세요.

• 중앙 집중식 IDP(신원 공급자)로부터 가상화 플랫폼에 대한 관리 액세스의 인증을 바인딩 해제하세요. 여기에는 개별 ESXi 호스트 및 vCenter 서버가 포함됩니다.

• 가상화 플랫폼과 관련된 권한 있는 계정에 대한 로컬 루트/관리 비밀번호를 사전 예방적으로 교체하세요.

• 가능하면 모든 가상화 인프라에 대한 관리 액세스에 대해 더 강력한 MFA를 사용하고 로컬 SSO에 바인딩하세요.

• 집합 풀의 일부인 각 가상화 호스트에 해당하는 로컬 루트/관리 계정에 대해 무작위 비밀번호를 적용하세요.

• 가상화 플랫폼에 대한 SSH(셸) 액세스를 비활성화/제한하세요.

• 모든 ESXi 호스트에서 잠금 모드(Lockdown Mode)를 활성화하세요.

• 가상화 플랫폼과 관련된 잠재적인 악성/의심스러운 인증 시도 및 활동을 식별하기 위한 모니터링을 강화하세요.

백업 인프라

위협 행위자가 백업 인프라와 데이터에 액세스하려는 시도를 방지하기 위해 조직은 다음을 수행해야 합니다.

• 계정에 대한 MFA를 적용하는 것 외에도 백업 인프라에 액세스하고 관리하기 위해 고유하고 별도의 (ID 공급자와 통합되지 않은) 자격 증명을 활용합니다.

• 백업 서버가 프로덕션 환경으로부터 격리되고 전용 네트워크 내에 있도록 보장합니다. 백업을 더욱 안전하게 보호하기 위해 변경 불가능한 백업 솔루션 내에 있어야 합니다.

• 백업 인프라와 관련된 관리 인터페이스에 액세스하기 위한 인바운드 트래픽 및 프로토콜을 제한하는 액세스 제어를 구현합니다.

• 적대적 행동 시뮬레이션(레드 팀)을 통해 백업의 보호 및 무결성을 주기적으로 검증합니다. 

엔드포인트 보안 관리 

위협 행위자가 EDR 및 패치 관리 도구와 같은 엔드포인트 보안 및 관리 기술을 무기화하는 것을 방지하기 위해 조직은 다음을 수행해야 합니다.

• 엔드포인트 보안 툴링 플랫폼에 대한 관리 액세스를 세분화합니다.

• 온프레미스 Active Directory에서 GPO(그룹 정책 개체)를 생성, 편집 또는 삭제할 수 있는 ID 범위를 줄입니다.

• Intune이 활용되는 경우, 변경 사항을 승인하고 적용하기 위해 다중 관리자 승인(MMA)을 요구하는 Intune 액세스 정책을 적용합니다.

• EDR 및 패치 관리 기술에 대한 무단 액세스를 모니터링하고 검토합니다.

• EDR 및 패치 관리 기술을 사용하여 엔드포인트 및 시스템에 대한 스크립트 및 애플리케이션 배포를 모니터링합니다.

• '허용 목록'에 있는 실행 파일, 프로세스, 경로 및 애플리케이션을 검토하고 모니터링합니다.

• 엔드포인트에 설치된 애플리케이션을 인벤토리하고 잠재적인 무단 원격 액세스(RAT) 및 정찰 도구 설치 여부를 검토합니다.

클라우드 리소스

위협 행위자가 추가적인 영구성과 액세스를 위해 클라우드 인프라에 대한 액세스를 활용하는 것을 방지하기 위해 조직은 다음을 수행해야 합니다.

• 클라우드 리소스 구성을 모니터링하고 검토하여 새로 생성된 리소스, 노출된 서비스 또는 기타 무단 구성을 식별하고 조사합니다.

• 새로 생성되거나 수정된 네트워크 보안 그룹(NSG) 규칙, 방화벽 규칙 또는 원격으로 액세스 가능한 공개적으로 노출된 리소스를 클라우드 인프라에서 모니터링합니다.

• 프로그래밍 방식의 키 및 자격 증명(예: 액세스 키) 생성을 모니터링합니다.

네트워크 인프라

액세스 제한

노출된 애플리케이션, 인그레스 경로를 사전에 식별하고 무단 액세스의 위험을 줄이기 위해 조직은 다음을 수행해야 합니다.

• 취약성 스캔을 활용하여 외부 비인증 스캔을 수행하여 공개적으로 노출된 도메인, IP 및 CIDR IP 범위를 식별합니다.

• 공개적으로 액세스할 수 있는 모든 애플리케이션 및 서비스에 액세스하기 위해 강력한 인증(예: 피싱 방지 MFA)을 적용합니다.

• 민감한 데이터 및 애플리케이션의 경우, 특정 (신뢰할 수 있는) IP 범위에서만 클라우드 환경/SaaS 애플리케이션에 대한 연결이 허용되도록 적용합니다.

• TOR 출구 노드 및 VPS IP 범위를 차단합니다.

네트워크 세분화

'신뢰할 수 있는 서비스 인프라(Trusted Service Infrastructure, TSI)'라는 용어는 일반적으로 조직의 핵심 서비스를 제공하는 플랫폼 및 기술에 대한 관리 인터페이스와 관련이 있습니다. 예는 다음과 같습니다.

• 자산 및 패치 관리 도구

• 네트워크 관리 도구 및 장치

• 가상화 플랫폼

• 백업 기술

• 보안 툴링

• 권한 있는 액세스 관리 시스템

TSI에 대한 관리 영역의 직접적인 액세스 및 노출을 최소화하기 위해 조직은 다음을 수행해야 합니다.

• TSI에 대한 액세스를 내부/강화된 네트워크 세그먼트 또는 PAW에서만 시작되도록 제한합니다.

• TSI에 직접 액세스하기 위한 네트워크 트래픽 패턴을 모니터링하는 데 초점을 맞춘 탐지를 생성하고, 이상 또는 의심스러운 트래픽에 대해 경고합니다.

이그레스 제한

명령 및 제어 기능을 제한하고 대량 데이터 유출 기능을 줄이기 위해 조직은 다음을 수행해야 합니다.

• 모든 서버에서 이그레스 통신을 제한합니다. 조직은 TSI, Active Directory 도메인 컨트롤러 및 최고 중요 애플리케이션 및 데이터 서버와 관련된 서버에서 이그레스 제한을 적용하는 것을 우선순위로 두어야 합니다.

• 악성 도메인 이름, IP 주소 및 원격 액세스 도구(RAT)와 관련된 도메인 이름/주소로의 아웃바운드 트래픽을 차단합니다. 

모니터링 / 탐지

정찰

초기 침해 시, UNC3944는 사용자 프로비저닝, MFA 및/또는 기기 등록, 네트워크 다이어그램, 문서 또는 스프레드시트의 공유된 자격 증명과 같은 주제에 대한 문서를 검색하는 것으로 알려져 있습니다. 

UNC3944는 또한 ADRecon, ADExplorer 및 SharpHound와 같은 네트워크 정찰 도구를 사용합니다. 따라서 조직은 다음을 수행해야 합니다.

• 이러한 문서가 포함된 모든 사이트 또는 포털이 필수 계정만 액세스할 수 있도록 액세스 제한이 있는지 확인합니다.

• 공유된 자격 증명이 포함될 수 있는 문서 및 스프레드시트를 탐색하여 제거합니다.

• 알려진 정찰 도구의 가능한 실행에 대해 EDR 에이전트가 있는 엔드포인트에 경고 규칙을 구현합니다.

• ID 모니터링 솔루션을 활용하는 경우, 모든 정찰 및 탐지 발견에 대해 탐지 규칙이 활성화되고 경고가 생성되는지 확인합니다.

• 도메인 등록을 지속적으로 모니터링하는 자동화된 메커니즘을 구현합니다. 예를 들어 [YourOrganizationName]-helpdesk.com 또는 [YourOrganizationName]-SSO.com과 같이 조직의 명명 규칙을 모방하는 도메인을 식별합니다. 

MFA 등록

MFA 등록 프로세스를 더욱 강화하기 위해 조직은 다음을 수행해야 합니다.

• 다음과 유사한 작업을 포함하도록 새로운 MFA 기기 또는 방법의 등록 또는 추가와 관련된 이벤트를 구체적으로 식별하기 위해 로그를 검토합니다.

  • MFA 기기 등록됨

  • 인증 앱 추가됨

  • MFA용 전화번호 추가됨

  • 동일한 MFA 기기/방법/전화번호가 여러 사용자와 연결됨

• 예상되는 사용자 행동 및 온보딩 또는 기기 등록 기록과 대조하여 새로운 등록의 합법성을 확인합니다.

• 새로운 등록이 감지되면 사용자에게 연락하여 활동이 의도적인지 확인합니다. 

협업 및 커뮤니케이션 플랫폼 

사회 공학 및/또는 커뮤니케이션 플랫폼에 대한 무단 액세스 또는 수정을 방지하기 위해 조직은 다음을 수행해야 합니다.

• Microsoft Teams와 같은 커뮤니케이션 도구에 대한 조직 정책을 검토합니다.

• 예상되는 공급업체 및 파트너에 대해서만 신뢰할 수 있는 외부 도메인을 허용합니다.

• • 외부 도메인을 차단할 수 없는 경우, 신뢰할 수 있는 도메인의 기준을 생성하고 직원에게 연락을 시도하는 새로운 도메인에 대해 경고합니다.

• 의심스러운 전화나 메시지를 받은 경우 조직의 헬프데스크에 직접 연락하도록 직원 및 스태프에게 인식 교육을 제공합니다. 

다음은 Microsoft Defender 고급 헌팅 쿼리 예시입니다. 이 쿼리는 외부 계정(헬프데스크를 사칭하려는)이 조직의 사용자에게 연락을 시도할 때 이를 탐지하도록 작성되었습니다. 

CloudAppEvents
| where Application == "Microsoft Teams"
| where ActionType == "ChatCreated"
| extend HasForeignTenantUsers = 
parse_json(RawEventData)["ParticipantInfo"]["HasForeignTenantUsers"]
| extend DisplayName = parse_json(RawEventData)["Members"][0]["DisplayName"]
| where IsExternalUser == 1 or HasForeignTenantUsers == 'true'
| where DisplayName contains "help" or AccountDisplayName contains "help" 
or AccountId contains "help"

다음은 Google SecOps 검색 쿼리 예시입니다. 

metadata.vendor_name = "Microsoft"
metadata.product_name = "Office 365"
metadata.product_event_type = "ChatCreated"
security_result.detection_fields["ParticipantInfo_HasForeignTenantUsers"] = 
"true"
(
principal.user.userid = /help/ OR
principal.user.email_addresses = /help/ OR
about.user.user_display_name = /help/
)

ID 세션 위험 및 가시성

탐지에는 다음이 포함되어야 합니다.

• 프록시 및 VPN 서비스 제공업체를 포함하여 평소와 다른 위치에서 발생하는 인증

• 인증 방법 또는 기준을 변경하려는 시도

• 사회 공학적 전술을 기반으로 한 인증 이상 징후 모니터링 및 헌팅

다단계 인증 우회

UNC3944는 다단계 인증 사용에 대한 요구 사항을 수정하는 것으로 알려져 있습니다. 따라서 조직은 다음을 수행해야 합니다.

• Entra ID의 경우, MFA 요구 사항을 우회하는 데 사용될 수 있는 신뢰할 수 있는 명명된 위치(Trusted Named Locations)에 대한 수정을 모니터링합니다.

• Entra ID의 경우, MFA를 적용하는 조건부 액세스 정책(Conditional Access Policies)의 변경 사항을 모니터링하고, 특히 손상된 사용자 계정 및/또는 장치가 관련 정책에서 제외되었는지에 집중합니다.

• SOC가 토큰 리플레이 또는 의심스러운 장치 로그인을 파악하고, 의심스러운 활동이 감지될 때 단계적(재)인증을 트리거할 수 있는 워크플로를 조정하도록 보장합니다.

도메인 페더레이션 오용

Microsoft Entra ID를 사용하는 조직은 Entra ID ID 페더레이션의 가능한 오용을 모니터링해야 합니다.

• Entra ID 테넌트에 등록된 도메인 이름을 확인하고, 특히 페더레이션으로 표시된 도메인에 주의를 기울입니다.

• 이러한 도메인의 페더레이션 구성이 올바른지 검토합니다.

• 테넌트 내에 새로운 도메인이 생성되거나 인증 방법이 페더레이션으로 변경되는 것을 모니터링합니다. 도메인 페더레이션 오용은 변경을 수행하는 계정이 Entra ID에서 관리 권한을 가져야 합니다. 모든 관리 계정, 포털 및 프로그래밍 방식 액세스에 대한 보안 강화는 필수입니다.

사회 공학적 인식 교육

UNC3944는 사용자가 액세스 권한을 얻도록 설득하기 위해 다양한 형태의 사회 공학을 매우 능숙하게 사용합니다. 조직은 사용자에게 다음 전술을 활용하는 시도를 인지하고 내부 보안팀에 알리도록 교육해야 합니다.

• IT 부서를 사칭하며 사용자에게 컴퓨터에 소프트웨어를 다운로드하여 설치하도록 요청하는 SMS 피싱 메시지. 여기에는 사용자의 컴퓨터가 규정을 준수하지 않거나 내부 관리 시스템에 보고하지 못하고 있다는 주장이 포함될 수 있습니다.

• 합법적으로 보이는 도메인 이름을 참조하고 SSO(싱글 사인온) 및 회사 이름의 변형을 언급하는 사이트 링크가 포함된 SMS 메시지 또는 이메일. 메시지에는 사용자가 비밀번호 및/또는 MFA를 재설정해야 한다는 텍스트가 포함될 수 있습니다.

• IT 부서에서 사용자에게 전화하여 비밀번호 및/또는 MFA 재설정을 요청하거나, 사용자의 기기에서 유효한 일회용 패스코드(OTP)를 제공하도록 요청하는 경우.

• 특정 시스템에 대한 액세스 권한을 부여하도록 요청하는 SMS 메시지 또는 이메일. 특히 조직에 이미 액세스 프로비저닝을 위한 확립된 방법이 있는 경우 더욱 주의해야 합니다.

• 공격자가 사용자가 의도치 않게 또는 좌절감에 수락할 때까지 피해자의 기기에 MFA 푸시 알림을 반복적으로 보내는 MFA 피로 공격. 조직은 사용자에게 예기치 않은 MFA 메시지를 거부하고 그러한 활동을 즉시 보고하도록 교육해야 합니다.

• 협업 도구를 통한 사칭 - UNC3944는 Microsoft Teams와 같은 플랫폼을 사용하여 내부 IT 지원 또는 서비스 데스크 직원을 사칭했습니다. 조직은 사용자에게 비정상적인 채팅 메시지를 확인하고 Microsoft Teams와 같은 내부 협업 도구를 통해 자격 증명이나 MFA 코드를 공유하지 않도록 교육해야 합니다. 외부 도메인을 제한하고 사칭 시도(예: 'helpdesk' 또는 'support'가 포함된 사용자 이름)를 모니터링하는 것이 좋습니다.

• 드물지만, 공격자들은 닥싱(doxxing) 위협이나 공격적인 언어를 사용하여 사용자를 협박하여 지시를 따르게 만들었습니다. 직원들이 이 전술을 이해하고 이러한 사건을 보고할 경우 조직이 그들을 지원할 것임을 알도록 보장해야 합니다.

추가 자료

• 랜섬웨어 보호 및 봉쇄 전략: 인프라, ID 및 엔드포인트 강화 및 보호를 위한 실용적인 지침
• UNC3944, SaaS 애플리케이션 표적 공격
• 왜 문자를 보내는 거야?: UNC3944, SIM 스와핑, 랜섬웨어, 금전적 갈취, 악명 높음을 위해 SMS 피싱 캠페인 활용