|
이란의 앱 사용자를 대상으로 하는 새로운 스파이웨어 침해사고분석팀 2021.06.18 |
|
|
이란과 관련이 있는 것으로 의심되는 위협 행위자들은 적어도 2015년부터 대상의 장치에서 민감한 정보를 훔칠 수 있는 Windows 원격 액세스 트로이 목마(RAT)를 설치하기 위해 Telegram 및 Psiphon과 같은 인스턴트 메시징 및 VPN 앱을 활용하는 것으로 밝혀졌다.
이 활동을 종합한 러시아 사이버 보안업체 Kaspersky는 이 캠페인을 APT가 추적하는 단체로 보고 있는데, 이 단체는 국가 기반의 페르시아어를 사용하는 Ferocious Kitten이라고 말했다.
Kaspersky GReAT(Global Research and Analysis Team)은 "이란에서 상당히 인기 있는 서비스인 Psiphon과 Telegram의 대상은 이란 사용자를 겨냥한 페이로드 개발이라는 사실을 잘 보여준다"고 설명했다.
또한 악성 파일에 표시되는 미끼 콘텐츠는 종종 정치적 주제를 이용해 저항 기지 또는 이란 정권에 대한 타격 이미지나 동영상을 자주 담고 있어 이란 내에서 이러한 움직임을 지지하는 잠재적 세력들을 겨냥한 공격임을 시사한다.
Kaspersky의 연구결과는 2020년 7월과 2021년 3월에 VirusTotal에 업로드된 두 개의 무기화 된 문서에서 나왔으며, 내장된 매크로가 활성화되면 MarkiRat이라는 새로운 임플란트를 배포하기 위해 다음 단계 페이로드를 삭제한다.
백도어는 공격자가 피해자의 개인 데이터에 광범위하게 접근할 수 있게 하며, 키 입력 기록, 클립보드 콘텐츠 캡처, 파일 다운로드 및 업로드 기능, 피해자 컴퓨터에서 임의의 명령을 실행하는 기능 등으로 구성된다.
[그림1. 메크로가 내장된 Word 문서]
공격 패턴을 확장하려는 시도로 보이는 공격자들은 Google Chrome과 Telegram과 같은 앱의 실행을 가로채서 멀웨어를 실행하는 등 MarkiRat의 다양한 버전에 대해 실험했으며, 이를 통해 감지나 제거가 더 어려워졌다. 발견된 공격 패턴 중 하나는 Psiphon의 백도어 버전을 포함하고 있는데, 이는 인터넷 검열을 회피하기 위해 종종 사용되는 오픈 소스 VPN 도구이다.
최근의 또 다른 버전에는 하드코딩된 도메인에서 실행 파일을 가져오는 일반 다운로드자가 포함되어 있는데, 연구원들은 "이 샘플의 사용은 과거에 멀웨어에 의해 페이로드가 삭제된 이전에 그룹에서 사용되던 것과 다르다. 그룹은 TTP의 일부를 변경하는 중일 수 있다."고 지적했다.
또한 명령 및 제어 인프라는 안드로이드 애플리케이션을 DEX와 APK 파일 형태로 호스팅했다고 전해져 위협 행위자 역시 모바일 사용자를 겨냥한 멀웨어를 동시에 개발하고 있을 가능성이 제기되고 있다.
흥미롭게도, 공격자가 채택한 전술은 Domestic Kitten 및 Rampant Kitten과 같은 유사한 대상에 대해 작동하는 다른 그룹과 겹치며, Kaspersky는 공격자가 장기간에 걸쳐 동일한 C2 서버 세트를 사용하고 KeePass 암호 관리자로부터 정보를 수집하려고 시도하는 방식에서 유사점을 발견했다.
"Ferocious Kitten은 이란에서 개인을 추적하기 위한 광범위한 생태계에서 활동하는 공격의 한 예이다. 이러한 위협 그룹은 그다지 자주 다뤄지지는 않는 것 같으며 따라서 보안 솔루션에 의해 제거되거나 플래그가 지정될 염려 없이 인프라 및 툴셋을 무심코 재사용할 수 있다."고 연구원들은 결론을 내렸다.
출처 https://thehackernews.com/2021/06/a-new-spyware-is-targeting-telegram-and.html |
