Dindoor Backdoor

위협 정보 조사 결과, 이란 정부와 연계된 사이버 공격이 북미 지역 여러 기관의 네트워크에 성공적으로 침투한 증거가 발견되었습니다. 피해를 입은 기관에는 은행, 공항, 비영리 단체, 그리고 국방 및 항공우주 분야에 서비스를 제공하는 소프트웨어 회사의 이스라엘 지사가 포함됩니다.

이 캠페인은 이란 정보안보부(MOIS)와 연관된 위협 그룹인 머디워터(MuddyWater), 일명 시드웜(Seedworm)의 소행으로 추정됩니다. 조사관들은 이 작전이 2026년 2월 초에 시작된 것으로 보고 있습니다. 이 캠페인과 관련된 네트워크 활동은 미국과 이스라엘이 이란을 공격한 직후에 나타났으며, 이는 사이버 활동의 배경에 지정학적 동기가 있었을 가능성을 시사합니다.

특히 표적이 된 소프트웨어 공급업체의 이스라엘 지사에 관심이 집중된 것으로 보입니다. 이 회사는 국방 및 항공우주 산업을 포함한 여러 산업 분야에 솔루션을 제공하기 때문에 정보 수집 및 사업 방해를 위한 전략적으로 중요한 목표물입니다.

Dindoor: Deno를 활용한 새롭게 발견된 백도어

침입 사건을 조사하던 보안 분석가들은 이전에 알려지지 않았던 Dindoor라는 백도어가 배포된 것을 확인했습니다. 이 악성 프로그램은 실행 환경의 일부로 Deno JavaScript 런타임을 사용하는데, 이는 기존 보안 모니터링 시스템에서 탐지를 회피하는 데 도움이 될 수 있는 비교적 드문 기법입니다.

소프트웨어 공급업체, 미국 은행, 캐나다 비영리 단체를 대상으로 한 공격은 이러한 백도어를 설치하는 진입점 역할을 한 것으로 보입니다.

데이터 유출 시도 증거도 확인되었습니다. 조사관들은 해킹당한 소프트웨어 회사의 환경에서 Wasabi에 호스팅된 클라우드 스토리지 버킷으로 정보를 전송하기 위해 Rclone 유틸리티가 사용된 것을 관찰했습니다. 분석 당시에는 데이터 유출 시도가 최종적으로 성공했는지 여부는 불분명했습니다.

Fakeset 백도어가 추가적인 침해 네트워크에서 발견되었습니다.

파이썬으로 작성된 Fakeset이라는 별도의 악성코드 구성 요소가 미국 공항과 또 다른 비영리 단체의 네트워크에서 발견되었습니다. 이 백도어는 미국 기반 클라우드 스토리지 및 백업 제공업체인 Backblaze와 관련된 인프라에서 확보되었습니다.

해당 악성 페이로드는 이전에 머디워터(MuddyWater) 작전과 연관된 것으로 알려진 스테이지컴프(Stagecomp) 및 다크컴프(Darkcomp)라는 두 가지 악성코드 계열과 관련된 인증서를 사용하여 디지털 서명되었습니다.

위협 연구원들은 MuddyWater 생태계와 관련된 다음과 같은 특징을 가진 악성코드 샘플을 확인했습니다.

• 트로이목마:Python/MuddyWater.DB!MTB
• 백도어.파이썬.진흙물.a

이번 조사에서 검토된 침해된 네트워크에서 Stagecomp와 Darkcomp 자체는 발견되지 않았지만, 동일한 디지털 인증서가 재사용된 것은 동일한 위협 행위자가 개입했을 가능성을 강력하게 시사하며, Seedworm을 그 배후로 지목하는 근거가 됩니다.

이란의 사이버 역량 및 사회공학적 전술 확장

최근 몇 년 동안 이란의 사이버 공격자들은 작전 능력을 크게 향상시켰습니다. 악성코드 개발 및 도구가 더욱 정교해짐에 따라, 더욱 은밀하게 네트워크 내부에 침투하고 효과적으로 횡적 이동을 할 수 있게 되었습니다.

이란 해킹 조직들은 인간 중심의 공격 전략을 확대하고 있다는 점도 주목할 만합니다. 고도의 표적 스피어 피싱 공격과 특정 개인과의 신뢰 구축을 위한 장기적인 '미인계' 작전 등 점점 더 정교해지는 사회공학적 기법을 사용하고 있습니다. 이러한 전술은 계정 접근 권한을 획득하거나 민감한 정보를 빼내는 데 자주 사용됩니다.

취약한 카메라를 통한 감시

병행 조사 결과, 이란과 연계된 다른 위협 집단들이 인터넷에 연결된 감시 장치를 적극적으로 탐색하고 있는 것으로 드러났습니다. 아그리우스(Agrius), 일명 아고나이징 서펜스(Agonizing Serpens), 마쉬트레이더(Marshtreader), 핑크 샌드스톰(Pink Sandstorm) 등으로 알려진 이 단체는 취약한 영상 감시 인프라를 물색하는 모습이 포착되었습니다.

연구원들은 알려진 취약점을 이용해 히크비전 카메라와 비디오 인터콤 시스템을 표적으로 삼는 공격 시도를 확인했습니다. 이러한 활동은 중동 분쟁, 특히 이스라엘과 여러 걸프 국가에서 더욱 심화되었습니다.

이번 캠페인은 다화(Dahua)와 히크비전(Hikvision)의 감시 장비에 영향을 미치는 취약점을 악용하는 데 초점을 맞췄습니다. 해당 취약점에는 다음이 포함됩니다.

• CVE-2017-7921
• CVE-2023-6895
• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

보안 분석가들은 이러한 침해가 미사일 작전과 관련된 작전 감시 및 전투 피해 평가(BDA)를 포함한 군사 정보 수집을 지원할 수 있다고 보고 있습니다. 경우에 따라 미사일 발사 전에 카메라에 침입하여 표적 설정이나 결과 모니터링을 지원할 수도 있습니다.

사이버 활동은 실제 작전의 전조 현상이다

감시 인프라에 대한 조직적인 공격은 이란의 사이버 교리가 디지털 정찰을 광범위한 군사 계획에 통합하고 있다는 오랜 평가와 일치합니다. 해킹당한 카메라는 실시간 시각 정보와 상황 인식을 제공할 수 있습니다.

따라서, 이란의 사이버 자산과 연관된 카메라 인프라에 대한 스캔 활동 및 공격 시도를 모니터링하는 것은 잠재적인 후속 물리적 공격에 대한 조기 경고 신호 역할을 할 수 있습니다.

사이버 보복 위험 증가

미국, 이스라엘, 이란 간의 갈등이 고조되면서 사이버 보복 위험이 높아졌습니다. 이러한 위협 증가에 대응하여 캐나다 사이버 안보 센터(CCCS)는 이란이 주요 기반 시설에 대한 사이버 공격을 감행하고 전략적 이익을 증진하기 위한 영향력 행사 또는 정보 작전을 수행할 가능성이 높다는 경고문을 발표했습니다.

이러한 발전은 지정학적 분쟁에서 사이버 공간이 또 다른 전장으로서 그 역할이 확대되고 있음을 보여줍니다. 사이버 공간에서는 첩보 활동, 교란 활동, 정보 수집 등이 전통적인 군사 작전과 함께 점점 더 많이 이루어지고 있습니다.