2019-08-21 00:41 (수)
OilRig APT 공격그룹이 사용하는 툴들의 소스코드 공개돼
상태바
OilRig APT 공격그룹이 사용하는 툴들의 소스코드 공개돼
  • hsk 기자
  • 승인 2019.04.21 16:28
이 기사를 공유합니다

hacker-2300772_640.jpg
Lab Dookhtegan이라는 이름으로 온라인에서 활동하는 해커 그룹이 이란 관련 사이버 간첩 그룹으로 추정되는 OilRig, APT34, HelixKitten의 수행 작전들의 상세 내용을 공개했다.

OilRig은 최소 2014년부터 활동해왔으며, 미국 및 중동 국가의 금융, 정부, 에너지, 통신 및 화학 분야의 조직을 주 타깃으로 하는 이란과 연결된 APT 그룹이다.

Lab Dookhtegan 그룹은 텔레그램 채널을 사용해 해킹 도구, 회원 및 수행 작전 세부 정보를 보여주는 OilRig 인프라에 대한 정보를 덤프했다. 또한 수년간 이 그룹이 수행한 작전과 관련된 IP 주소, 도메인도 공개했다.

텔레그램에서Lab Dookhtegan 가명을 가진 사용자는 3월 중순부터 텔레그램 채널을 통해 툴들을 유출시킨 것으로 보인다. 덤프에는 피싱 공격을 통해 얻은 여러 서비스에 대한 로그인 자격 증명을 포함, OilRig 피해자들의 데이터도 포함되어 있다.

이란 배후 해킹 그룹의 작전을 방해하기 위한 정보를 누설한 단체는 정권의 반대 입장일 가능성이 있다. Lab Dookhtegan은 해킹당한 관리자 패널에 포함된 데이터와 관련해 아래 6가지 해킹 도구의 소스 코드를 유출했다.

-Glimpse (aka BondUpdater): 파워쉘 기반의 최신 트로이목마
-PoisonFrog: BondUpdater의 이전 버전
-HyperShell웹 셸: TwoFace로도 불림
-HighShell웹 셸
-Fox Panel 피싱 툴
-Webmask: DNSpionage의 메인 툴

Dookhtegan은 크로니클에 따르면 중동, 아프리카, 동아시아 및 유럽 지역의 민간 업체, 정부 기관 66명 피해자 데이터를 유출했다고 전했다. 피해자 목록에는 에티하드 항공과 에미레이트 국영 석유 회사가 포함되어 있고, 해커는 에너지, 교통, 금융 등 많은 산업 분야 개인을 타깃으로 한다.

Lab Dookhtegan은 또한 이란 정보부 임원, 유출 및 공유된 연락처, 이미지, 소셜 미디어 프로필, APT34 작전 관련자들의 명단도 작성했다. 이들은 “우리는 이란 정보부와 그 관련자들의 범죄에 대한 더 많은 기밀 정보를 알고 있으며, 계속해서 폭로할 것이다”라고 말했다. 이러한 정보 유출은 OilRig 그룹의 향후 운영에 심각한 영향을 미칠 것이다.


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★