Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향최근 사용된 이란 악성 코드 분석 공개
작성일 2021-04-09 조회 54

 

 

중동은 종교적인 문제로 인해 군사적 충돌이 자주 일어나고 있는 지역이다. 2021년 2월엔 이란의 군사 영향력이 확대되는 것을 막기 위해 이스라엘의 공습. 2020년엔 이란의 핵 개발에 대한 경제 제재 관련 협상이 진행되었다.

 

 

 

[그림 1. 중동의 군사적인 충돌]

 

 

군사적인 충돌이 잦은 이 중동에서 사이버 첩보 활동이 일어나지 않을 수 없다. 최근 이란에서 레바논을 대상으로 사이버 첩보 공격이 진행된 것으로 밝혀졌다. 장악된 시스템에 백도어를 심고, 백도어를 통해 민감한 데이터를 유출하는 방식으로 공격이 수행되었다.

 

사이버 보안 회사 Check Point는 이번 공격의 배후로 APT34를 지목했다. APT34가 이전에 수행했던 공격 패턴과 이번 공격 패턴이 매우 유사하다는 게 이유였다. OilRig으로도 불리는 APT34는 이란의 전략에 따라 첩보 활동을 수행하는 것으로 알려졌다. 주요 표적으로는 금융기관, 정부기관 단체 및 에너지, 통신 관련 기업이 포함된다. APT34는 일반적으로 가짜 구인 관련 서류를 LinkedIn을 활용하여 개개인에게 보내는 공격 방식에 의존한다. 최근에 일어난 공격도 이와 다르지 않다.

 

 

 

[그림 2. Ntiva로 위장한 악성 문서]

 

 

Check Point가 1월 10일 레바논 VirusTotal에 업로드 한 악성 문서를 보면 Ntiva IT는 컨설팅 회사의 다양한 직책에 대한 정보를 제공하는 것처럼 위장한 것을 볼 수 있다. (그림 2 참조) 악성 문서에 내장된 악성 매크로를 활성화하면 [그림 3]과 같은 감염 흐름이 유발된다. 최종적으로 "Side Twist"라는 백도어가 희생자의 PC에 주입된다.

 

 

 

[그림 3. 전체 감염 경로]

 

 

 

피해자의 컴퓨터에 대한 기본적인 정보를 수집하는 것을 포함하여 백도어는 원격으로 공격자의 명령어가 수행되도록 한다. 이로 인해 C2 서버로부터 악성 파일을 다운로드 할 수 있으며. shell Command를 실행시킬 수 있다. Check Point는 공격 그룹의 이번 공격에서 사용된 새로운 백도어 사용은 2019년 해킹 도구 유출 이후 지속적으로 그들의 해킹 도구를 강화하려는 것으로 볼 수 있다고 주장했다.

 

이란의 지원을 받는 APT34의 공격 속도는 늦춰질 조짐이 보이지 않는다. 중동에서 정치적인 안건을 추진하기 위해 레바논을 대상으로 이란은 사이버 공격을 지속적으로 감행할 것으로 예상된다. 탐지 가능성을 줄이기 위해 이전에 사용한 기술 대신 지속적으로 새로운 기술이 업데이트 된 도구를 이용하고 있기 때문이다.

 

 

출처 

https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/

https://www.hankookilbo.com/News/Read/A2021021516490000559

첨부파일 첨부파일이 없습니다.
태그 APT34   Iranian malware  Check Point