이란 해커, 고위험 사이버 공격에 Tickler 맬웨어 배포

글로벌 사이버 보안에 우려스러운 일이 발생하면서, 이란의 국가 지원 해커들이 Tickler 라는 새로운 맞춤형 맬웨어를 도입하여 미국과 아랍에미리트의 중요 인프라에 침투하고 정보를 수집했습니다. Microsoft에서 Peach Sandstorm 으로 추적한 이 정교한 캠페인의 배후에 있는 그룹은 APT33 , Elfin, Refined Kitten과 같은 다른 다양한 별칭으로도 알려져 있으며, 타깃 부문에서 귀중한 데이터를 얻기 위해 끈기 있게 노력해 왔습니다.

사이버 경기장의 새로운 위협

Tickler 는 단순한 맬웨어가 아닙니다. 이란 사이버 스파이 도구의 역량에 있어서 상당한 도약을 나타냅니다. 이 다단계 백도어는 손상된 시스템에 깊이 파고들어 공격자가 다양한 악성 활동을 실행할 수 있도록 설계되었습니다. 민감한 시스템 정보를 수집하는 것부터 명령을 실행하고 파일을 조작하는 것까지 Tickler는 공격자에게 다재다능한 도구 역할을 합니다.

중요한 부문을 타겟팅

이 캠페인의 주요 타깃에는 위성, 통신, 정부, 석유 및 가스 산업 내의 조직이 포함됩니다. 이는 미국과 UAE의 국가 안보에 중요한 부문입니다. 공격자의 전략은 명확합니다. 이러한 국가의 인프라에서 핵심적인 역할을 하는 부문을 방해하고 정보를 수집하는 것입니다.

복숭아 모래 폭풍의 끊임없는 위협

Peach Sandstorm은 수년에 걸쳐 지속적이고 진화하는 위협을 보여주었습니다. 2023년 후반에 이 그룹의 활동은 미국 방위 산업 기지 내 직원에 초점을 맞추면서 가속화되었습니다. 그들의 접근 방식은 기술적 악용에 국한되지 않습니다. 그들은 특히 LinkedIn을 통해 소셜 엔지니어링을 활용하여 정보를 수집하고 사악한 계획을 실행했습니다.

사회공학의 힘

LinkedIn은 이러한 해커에게 귀중한 도구임이 입증되었으며, 이를 통해 해커는 대상을 거짓된 보안 감각으로 유인하는 설득력 있는 소셜 엔지니어링 공격을 만들어낼 수 있습니다. Peach Sandstorm은 전문가 네트워크 내의 신뢰를 조작하여 그렇지 않으면 안전하게 유지될 방어를 효과적으로 침해합니다.

무기고 확장

이 그룹은 Tickler 를 사용하는 것 외에도 암호 스프레이 공격을 계속 사용했는데, 이는 약한 암호를 악용하여 여러 계정을 침해하는 것을 목표로 하는 기술입니다. 최근 이러한 공격은 미국과 호주 전역의 방위, 우주, 교육 및 정부 부문에서 관찰되었습니다.

해로운 이익을 위한 클라우드 인프라 활용

이 캠페인의 가장 놀라운 측면 중 하나는 명령 및 제어 작업을 위해 사기성 Azure 구독을 사용하는 것입니다. 합법적인 클라우드 인프라를 활용함으로써 해커는 자신의 활동을 숨기고 방어자가 공격을 감지하고 완화하는 것을 더욱 어렵게 만들 수 있습니다.

조정된 사이버 공격

Microsoft가 Peach Sandstorm 에 대한 보고서를 발표한 시점은 주목할 만하며, Google Cloud의 Mandiant가 이란의 방첩 작전에 대해 보고한 보고서와 이란의 국가 지원 사이버 활동에 대한 미국 정부의 자문과 일치합니다. 이는 이란의 행위자들이 사이버 영향력을 확대하고 랜섬웨어 그룹과 협력하여 영향력을 증폭시키려는 보다 광범위하고 조정된 노력을 시사합니다.

경계의 필요성

이란 해커들이 계속해서 전략을 발전시키고 있기 때문에, 특히 중요한 부문의 조직은 경계를 늦추지 않는 것이 필수적입니다. Tickler 의 도입은 사이버 스파이 활동의 새로운 장을 알리며, 이러한 증가하는 위협에 맞서기 위해 강력한 사이버 보안 대책과 국제 협력의 필요성을 강조합니다.

사이버 보안 전문가와 조직은 이러한 발전에 앞서 나가야 하며, Peach Sandstorm 과 같은 국가 지원 주체의 점점 더 정교해지는 공격을 방어할 준비가 되어 있어야 합니다.