Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향새로운 멀웨어로 ISP, 통신 회사를 공격한 이란 APT 그룹
작성일 2021-11-10 조회 184

 

 

 

'Lyceum'(Hexane, Spilrin)으로 알려진 이란 국영 APT는 2021년 7월과 10월 사이에 중동과 아프리카의 ISP와 통신 서비스 제공업체를 표적으로 삼았음이 밝혀졌다.

 

이스라엘 외에도 연구원들은 모로코, 튀니지 및 사우디 아라비아에서 Lyceum 백도어 멀웨어 공격을 발견했다.


Accenture와 Prevailion의 연구원 간의 공동 보고서에서 분석된 가장 최근 캠페인에서 Lyceum은 Shark 및 Milan이라는 별개의 두가지 멀웨어 제품군을 사용하는 것으로 나타났다.

 

Shark 백도어는 명령을 실행하고 감염된 시스템에서 데이터를 추출하는데 사용되는 C# 및 .NET으로 작성된 32비트 실행 파일이다.

 

Milan은 손상된 시스템에서 데이터를 검색하여 DGA(도메인 생성 알고리즘)에서 파생된 호스트로 데이터를 유출할 수 있는 32비트 RAT(원격 액세스 트로이 목마)이다.

 

두 백도어는 DNS 및 HTTPS를 통해 명령 및 제어 서버(C2)와 통신하며 Shark도 DNS 터널링을 사용한다.

 

 

[그림1. C2와 HTTP로 통신한 Shark]

 

 

비콘과 페이로드가 지속적으로 새로고침된 것으로 밝혀진 기술 분석에 따르면, Lyceum은 코드를 업데이트하고 방어 메커니즘보다 앞서 나가기 위해 멀웨어를 분석하는 연구원을 모니터링하는 것으로 보여진다.


 
가장 최근의 빌드 날짜는 2021년 10월이며 연구원들은 최소 2개의 공격이 진행 중이라고 지적했다.

 

분석가는 공격자의 도메인 20개를 병합하고 원격 측정 데이터를 삭제하지 않고 분석하여 Lyceum 피해자를 매핑할 수 있었다.

 

특정 해커 그룹은 정치적 동기를 갖고 있으며 목표물에 운영 중단을 일으키기보다는 사이버 스파이 활동에만 관심이 있는 것으로 여겨지는 경우도 있다.

 

높은 수준의 서비스 공급자를 손상시키는 것은 외국에 대한 귀중한 정보를 수집하는 훌륭한 방법으로 Lyceum이 ISP 네트워크 침입에 초점을 맞추는 이유 또한 동일하다고 추측된다.

 

Accenture와 Prevailion의 공동 보고서는 "밀라노 백도어 비콘이 모로코 통신 사업자의 고객인지 아니면 사업자 내부 시스템에서 오는 것인지 알 수 없습니다"라고 설명한다.

 

"그러나 Lyceum은 과거 통신 사업자를 표적으로 삼았고 또 다른 북아프리카 통신 회사를 표적으로 삼고 있습니다."라고 덧붙였다.

 

이란은 전통적으로 이스라엘, 사우디아라비아, 모로코에 대해 적대적인 입장을 견지해왔지만, 피해자에 튀니지를 포함하는 것은 흥미로운 발견이다.

 

또한 피해자 유형과 활동 일정은 지난달 Cybereason이 공개한 GhostShell 캠페인과 일치한다.

 

GhostShell 캠페인은 새로운 APT 적에 의해 조직되었을 가능성이 높지만, 여전히 Lyceum과 같은 유명한 이란 APT 그룹과 연결되어있다고 추측된다.

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/iranian-state-hackers-use-upgraded-malware-in-attacks-on-isps-telcos/

첨부파일 첨부파일이 없습니다.
태그 Lyceum