Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Remote Utilities 소프트웨어를 사용하여 표적을 감시하는 이란 해커
작성일 2021-03-09 조회 136

이란 해커

 

 

이란과 관계가 의심되는 해커들은 데이터 도용을 목적으로 한 스파이 활동의 일환으로 중동 및 인근 지역의 학계, 정부 기관, 관광 단체를 적극적으로 공략하고 있다.

 

Trend Micro에서 'Earth Vetala'로 불리는 이번 연구 결과는 Anomali가 지난달에 발표한 이전 연구에서 확장되었으며 ScreenConnect 원격 관리 도구를 활용해 UAE와 쿠웨이트 정부 기관을 겨냥한 악성 활동의 증거를 발견했다.

 

사이버 보안 회사는 현재 진행중인 공격을 위주로 중동 국가들에 대한 공격으로 유명한 이란의 해커 그룹인 MuddyWater로 널리 추적되는 위협 행위자와 중간 정도의 확신을 가지고 연결시켰다.

 

Earth Vetala는 C2 서버와 통신을 시작하기 전에 Onehub라는 인기있는 파일 공유 서비스에 대한 링크가 포함된 스피어 피싱 이메일을 활용하여 패스워드 덤핑 유틸리티에서 사용자 지정 백도어에 이르는 맬웨어를 배포했다. 이를 통해 난독화된 PowerShell 스크립트를 실행한다.

 

링크 자체는 파일 다운로드 및 업로드, 스크린 샷 캡처, 파일 및 디렉토리 검색, 프로세스 실행 및 종료가 가능한 RemoteUtilities에서 개발한 합법적인 원격 관리 소프트웨어가 포함된 .ZIP 파일로 피해자를 안내한다.

 

 

이란 해커

[그림1. 영향을 받는 국가]

 

 

Trend Micro는 Remote Utilities와 ScreenConnect를 배포하는 두 캠페인 간의 전술과 기법이 대체로 유사하다는 점에 주목하며 새로운 공격 대상이 대상은 주로 아제르바이잔, 바레인, 이스라엘, 사우디아라비아, UAE에 위치한 조직이라고 밝혔다.

 

사우디 아라비아의 손상된 호스트와 관련된 특정 사례에서, 연구원들은 공격자가 원격 액세스 도구, 자격 증명 도용 도구, 실행 가능한 PowerShell 백도어를 다운로드하기 전에 'chisel'이라고 하는 TCP/UDP 터널링 도구의 C# wrapper인 SharpChisel을 성공적으로 구성하지 못한 것을 발견했다.

 

"Earth Vetala는 흥미로운 위협을 나타낸다. 원격 액세스 기능을 보유하고 있지만, 공격자가 이러한 모든 도구를 올바르게 사용할 수 있는 전문 지식이 부족한 것 같다. 이 공격이 MuddyWater 위협 행위자와 연결되어 있다고 생각되며, 다른 연결된 캠페인에서도 공격자가 더 높은 수준의 기술력을 보여 주었기 때문에 이는 예상치 못한 일이다."라고 Trend Micro는 말했다.

 

 

 

출처

https://thehackernews.com/2021/03/iranian-hackers-using-remote-utilities.html

첨부파일 첨부파일이 없습니다.
태그 Earth Vetala  MuddyWater  RemoteUtilities  ScreenConnect   Sarbloh  KhalsaCrupt