관리형 탐지 및 대응(MDR) 분야 글로벌 보안 기업 레드 캐너리(Red Canary)가 ‘제5차 연간 위협 탐지 보고서’를 발표했다. 이 보고서는 지난 1년 동안 회사 고객의 클라우드 워크로드, ID, SaaS 애플리케이션, 네트워크 및 엔드포인트에서 수집된 250페타바이트의 원격 분석에서 식별된 약 4만개의 위협에 대한 분석을 기반으로 한다.

이 연구는 레드 캐너리 전문가들이 사이버 공격자들의 사이버 범죄 활동을 계속 조직, 상품화 및 확장을 관찰한 동향을 강조한다. 또한 공격자가 사이버 공격을 수행할 때 가장 자주 사용하는 기술과 도구에 대한 조사도 포함된다.

사이버 공격은 소셜 엔지니어링, 계정 탈취 및 수정된 이메일 규칙으로 인해 이메일 계정 손상이 증가하고 있다. ID 공격 경향에는 다중인증 MFA(Multi-Factor Authentication) 요청 가로채기와 오피스 365의 데이터 손상이 포함된다.

초기 액세스 트레이딩 기술은 압축된 아카이브 및 피싱 이메일의 컨테이너 파일 유형과 SEO 중독 및 악성 광고에 크게 의존했다 .

위협들로는 Mimikatz, Cobalt Strike, Impacket 및 BloodHound와 같은 공격적인 보안 도구는 모두 상위 위협 목록에 포함되었다.

USB 드라이브를 통해 확산되는 라즈베리 로빈(Raspberry Robin) 활동은 2022년 5월에 발견되었다. 때때로 랜섬웨어의 선구자인 SocGholish와 결합되어 2022년 고객에게 영향을 미치는 상위 10대 위협 목록에 포함되었다.

공격 기술은 윈도우 명령 셸, 파워셸(PowerShell) 및 WMI(Windows Management Instrumentation)와 같은 엔드포인트 기반 관리, 자동화 및 관리 유틸리티는 여전히 가장 일반적인 적대적 기술이었다. 연구에 따르면 클라우드 및 ID별 기술이 눈에 띄게 증가했다.

이 보고서는 보안 실무자가 사이버 위협을 예방, 완화, 탐지 및 에뮬레이션하는 능력을 향상시키기 위한 참조 라이브러리로 사용된다. 공격자의 행동에 대한 관련 증거를 기록하는 데이터 소스, 해당 데이터 소스에서 수집하는 도구, 보안 팀이 이 가시성을 사용하여 탐지 범위를 개발하는 방법 및 훨씬 더 심층적으로 실행 가능한 정보에 대한 자세한 지침을 제공한다.

키이쓰 맥커먼(Keith McCammon) 레드 캐너리 공동 창립자이자 최고 보안 책임자는 "위협 탐지 보고서는 권장 조치와 함께 고유한 데이터 및 통찰력을 제공한다. 공격 표면 제어권 회수에서 클라우드 기반 인프라 및 애플리케이션을 대상으로 하는 공격을 모니터링하는 방법에 이르기까지 조직에 효과적으로 필요한 정보를 제공한다. 이를 통해 사이버 보안 위협을 감지하고 대응하기 바란다."고 말했다.