주요 요약
- 해킹 집단이 C2 인프라와의 상호 작용을 모호화하기 위해 Microsoft Graph API를 도입했습니다.
- APT28과 REF2924를 포함한 주요 집단이 이 방법을 2.5년 이상 사용해왔습니다.
- BirdyClient 악성코드가 공개되지 않은 Ukrainian 기관을 표적으로 삼았습니다.
- 해커들이 Microsoft 클라우드 서비스의 신뢰성과 비용 효율성을 활용하여 악성코드 호스팅에 활용하고 있습니다.
- 러시아 국가 지원 위협 그룹 APT28이 계속해서 Microsoft 솔루션을 악용하고 있습니다.
분석
해킹 집단의 Microsoft Graph API 악용은 Microsoft와 더 넓은 기술 산업에 상당한 영향을 미칩니다. BirdyClient 변종에서 나타난 바와 같이, 신뢰할 수 있는 클라우드 서비스를 악용한 악성코드 호스팅은 표적 기관의 보안을 위협할 뿐만 아니라 클라우드 기반 보안 조치에 대한 사용자 신뢰를 약화시킵니다. 이러한 발전은 Microsoft로 하여금 API 사용 지침 강화 및 악성코드 탐지 프로토콜 개선 등 보안 조치를 강화하도록 자극할 수 있습니다.
국가 지원 위협 그룹이 있는 국가, 예를 들어 APT28의 경우 러시아는 잠재적인 경제적 여파와 명성 손상에 직면할 수 있습니다. 이에 따라 기업들이 증가하는 사이버 위협에 대한 완화를 위해 노력함에 따라 사이버 보험과 같은 금융 수단에 대한 수요가 늘어날 수 있습니다. 장기적인 영향은 비판적 인프라와 디지털 생태계에 대한 신뢰를 보호하기 위해 글로벌 차원의 사이버 보안 표준 및 규제 수립의 필요성을 강조합니다.