2024-03-29 07:00 (금)
이란 APT 해킹그룹, 이스라엘 보안회사 사칭 스피어 피싱 공격 수행
상태바
이란 APT 해킹그룹, 이스라엘 보안회사 사칭 스피어 피싱 공격 수행
  • hsk 기자
  • 승인 2018.07.05 14:09
이 기사를 공유합니다

cyber-security-3480163_640.jpg
최근 이란의 APT 그룹 ‘Charming Kitten(챠밍 키튼)’이 이전의 해킹 캠페인을 폭로한 이스라엘 사이버보안 회사를 사칭해 활동을 하고 있다는 사실이 밝혀졌다. Newscaster 또는 Newsbeef라고도 불리는 이 그룹은 자신들에 대한 조사 보고서에 관심이 있는 사람들을 타깃으로 스피어 피싱 공격을 수행했다.

Newscaster 그룹은 2014년에 iSight 보안전문가들이 소셜미디어를 사용해 이란 해커들이 수행한 정교한 인터넷 기반 스파이 캠페인에 대한 보고서를 발표해 헤드라인을 장식했었다. iSIGHTPartners(아이사이트파트너스)의 분석에 따르면 이들은 주요 소셜 미디어에서 가짜 계정을 사용해 전세계 공무원과 미국 관료들을 감시했다. Charming Kitten 그룹은 또한 BeEF를 포함한 오픈소스 보안툴을 악용하는 것으로도 유명하다.

해커들은 이란, 미국, 이스라엘, 영국 및 기타 국가의 수많은 단체를 타깃으로 했고, 이외에 학술 연구, 인권, 언론 등에 관련된 개인들을 대상으로도 공격을 수행했다.

보안 업체 ClearSky는 해당 그룹의 2016~17년의 활동을 상세히 기록했고, 이 보고서는 APT가 사용한 인프라와 'DownPaper'로 명명된 새로운 악성 코드 관련 정보도 포함한다. 또한 HBO 정보 유출 사고 배후의 해커를 Charming Kitten과 연결짓고 있으며, 멤버 두명의 신원을 밝힌다.

최근 이스라엘 사이버보안 업체인 ClearSky Security의 보안 전문가들은 Charming Kitten APT 그룹이 회사의 공식 웹사이트(clearskysec.com)의 복제본(clearskysecurity.net)을 생성했다는 사실을 발견했다. 이들은 공식 웹사이트의 페이지를 복사하고 그들 중 하나를 로그인 옵션을 포함하도록 변경했다.

ClearSky 측은 “이러한 로그인 옵션은 사용자의 자격 증명을 공격자에게 보내기 위한 피싱 페이지이다. 합법적인 웹사이트에는 로그인 옵션이 없다”고 설명했다. 전문가들은 해당 그룹이 아직 작업 중인 상황에서 페이지가 발견되었다고 판단한다. 페이지 중 일부에 오류 메시지가 있기 때문이다.

연구원들은 또한 clearskysecurity.net 가짜 도메인이 지난달 ClearSky의 Charming Kitten APT와 관련된 서버에서 호스팅되었다는 사실도 발견했다. 이는 이란 해커 그룹과 연결되어 있다는 또다른 단서가 되었다. 이 가짜 웹사이트는 발견된 지 몇시간 후에 사라졌다.

최근 OilRig 그룹이 중동의 타깃들을 겨냥한 공격에서 새로운 트로이목마를 사용해 왔다는 사실을 발견했었는데 OilRig는 이란과 연결된 해커 그룹 중 하나일 뿐이며, 이외에 APT33, Rocket Kitten, Cobalt Gypsy(Magic Hound), Charming Kitten(Newscaster, Newsbeef), CopyKittens도 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★