APT33

APT33(Advanced Persistent Threat)은 2013년으로 거슬러 올라갑니다. 맬웨어 연구자들은 해킹 그룹이 이란에서 시작되었으며 국가 후원을 받을 가능성이 있다고 믿고 있습니다. APT33 해킹 그룹은 항공우주, 방위산업, 화학 분야에서 외국의 경쟁 산업을 노리는 경향이 있어 이란 정부의 이익을 도모하는 데 주력한 것으로 보인다. 대부분의 캠페인은 사우디 아라비아, 미국 및 한국의 특정 지역에 집중되어 있습니다. 정부가 해킹 그룹을 후원하고 스파이 활동 및 기타 다양한 활동에 고용하는 것은 드문 일이 아닙니다.

사우디아라비아를 겨냥한 최신 공격

APT33은 해킹 도구와 사용하는 인프라를 자주 변경하기 때문에 익명을 유지하기 위해 많은 노력을 기울입니다. 2019년 3월 APT33은 Nanocore RAT를 사용하여 사우디 아라비아의 목표물에 대한 공격을 시작했으며 공격이 발생한 직후 인프라를 완전히 변경하고 Nanocore RAT 사용을 중단했으며 대신 njRAT 라는 새로운 RAT를 사용했습니다.

방대한 인프라

악명 높은 해킹 도구 중 하나는 DropShot 드로퍼입니다. 그들은 또한 Shamoon 2 와이퍼와 일부 속성을 공유하는 자체 제작 디스크 와이퍼인 StoneDrill을 사용했습니다. 일부 전문가들은 APT33 해킹 그룹이 1,200개 이상의 도메인과 수백 대의 서버를 보유하고 있어 인프라가 얼마나 광대하고 경로를 전환하는 것만으로 사이버 보안 전문가를 얼마나 쉽게 속일 수 있는지를 보여주고 있다고 추측합니다.

자체 해킹 도구를 개발하는 것 외에도 APT33은 종종 AdwindRAT, SpyNet, RevengeRAT , DarkComet 등과 같은 공개적으로 사용 가능한 도구를 활용합니다. APT33은 앞으로도 계속 활동할 것이며 인프라와 무기고를 계속 확장할 것입니다.