MuddyViper 백도어
최근 이스라엘의 학계, 공학, 지방 정부, 제조, 기술, 운송, 공공 서비스 등 광범위한 기관들이 첩보 활동에 연루되었습니다. 이란 정부와 연계된 세력의 소행으로 추정되는 이 작전은 이전에는 알려지지 않았던 '머디바이퍼(MuddyViper)'라는 백도어를 도입하며, 조직의 전술이 더욱 강화될 조짐을 보였습니다. 이집트에 본사를 둔 한 기술 기업 또한 2024년 9월 말부터 2025년 3월 중순까지 공격 대상에 포함되었습니다.
목차
확장되는 역량을 가진 친숙한 적
이 공격은 망고 샌드스톰, 스태틱 키튼, 또는 TA450으로도 알려진 머디워터(MuddyWater)와 관련이 있는 것으로 알려졌습니다. 머디워터는 이란 정보보안부 산하에서 활동하는 것으로 추정되는 조직입니다. 최소 2017년부터 활동해 온 머디워터는 이전의 파워스태츠(POWERSTATS) 캠페인과 퀵샌드 작전(Operation Quicksand) 당시 파우굽(PowGoop) 랜섬웨어 사용을 포함하여 오랜 기간 스파이 활동과 파괴 활동을 벌여 왔습니다.
공개된 조사 결과에 따르면, 이 단체는 이스라엘의 지방 자치 단체, 항공 운송, 관광, 의료 서비스, 통신 네트워크, IT 공급업체, 중소기업을 포함한 다양한 목표물을 계속해서 공격하고 있습니다.
진화하는 플레이북: 소셜 엔지니어링부터 VPN 취약점 악용까지
위협 행위자는 일반적으로 스피어 피싱 이메일과 알려진 VPN 취약점을 악용하여 침투합니다. 과거에는 이러한 침입에 합법적인 원격 관리 도구를 배포하는 방식이 사용되었는데, 이는 MuddyWater 운영의 특징입니다. 그러나 2024년 5월 이후, 이들의 피싱 이메일은 BugSleep(MuddyRot이라고도 함)이라는 은밀한 백도어를 배포하기 시작했으며, 이는 더욱 맞춤화된 도구 사용으로의 전환을 보여줍니다.
이 그룹의 광범위한 무기고는 광범위하며 Blackout, AnchorRat, CannonRat, Neshta, 그리고 TreasureBox와 BlackPearl RAT와 같은 로더를 전파하는 데 도움이 되는 Sad C2 프레임워크가 포함됩니다.
피싱은 여전히 첫 번째 단계입니다
최근 공격은 PDF 첨부 파일이 포함된 악성 이메일로 시작됩니다. 이러한 PDF 파일은 Atera, Level, PDQ, SimpleHelp와 같이 널리 사용되는 원격 도구의 다운로드를 유도합니다. 공격자가 공격 거점을 확보하면, 공격자는 더욱 특수화된 구성 요소를 배포합니다.
Fooder와 MuddyViper를 소개합니다
이 캠페인은 C/C++ 기반 MuddyViper 백도어를 복호화하고 실행하도록 설계된 Fooder라는 로더를 주요 공격 대상으로 삼고 있습니다. Fooder의 변종은 go-socks5 터널링 유틸리티와 Safari를 제외한 다양한 플랫폼에서 브라우저 데이터를 수집하는 오픈소스 HackBrowserData 도구를 배포하는 것으로도 확인되었습니다.
MuddyViper는 자체적으로 광범위한 제어권을 부여하여 운영자가 시스템 세부 정보를 수집하고, 파일과 명령을 실행하고, 데이터를 입출력하고, Windows 자격 증명과 브라우저 정보를 훔칠 수 있도록 합니다. 은닉된 접근을 유지하기 위해 20개의 내장 명령을 지원합니다. 일부 Fooder 변종은 고전적인 Snake 게임으로 위장하여 탐지를 피하기 위해 지연 실행을 사용하는데, 이 기술은 2025년 9월에 처음 발견되었습니다.
작업에서 관찰된 추가 도구
연구자들은 또한 지속성, 자격 증명 도용 및 데이터 수집을 위해 설계된 여러 지원 유틸리티의 배포를 기록했습니다.
VAXOne – Veeam, AnyDesk, Xerox 또는 OneDrive 업데이터로 위장한 백도어입니다.
CE-Notes – 로컬 상태 암호화 키를 훔쳐 Chrome의 앱 기반 암호화를 우회하도록 설계된 브라우저 데이터 도난 도구입니다.
Blub – Chrome, Edge, Firefox, Opera에서 로그인 데이터를 수집하는 AC/C++ 스틸러.
LP-Notes – 사용자가 로그인 세부 정보를 입력하도록 속이기 위해 사기성 Windows 보안 프롬프트를 표시하는 AC/C++ 자격 증명 수집 도구입니다.
Lyceum과의 협업: 운영상의 중복 발생
조사 결과, MuddyWater의 활동은 적어도 2018년부터 지역 사이버 간첩 활동을 벌여온 OilRig(APT34)의 하위 조직인 Lyceum(Hexane, Spirlin 또는 Siamesekitten으로도 알려짐)의 활동과 겹치는 것으로 드러났습니다.
2025년 초에 발견된 사건에서 MuddyWater는 원격 데스크톱 도구와 맞춤형 Mimikatz 로더를 배포하여 이스라엘 제조 기업 내부에 초기 접근 브로커 역할을 했을 가능성이 높습니다. 이후 Lyceum은 유출된 자격 증명을 활용하여 접근 권한을 확장하고 운영 통제권을 장악했을 가능성이 높습니다.
운영 성숙도 증가의 신호
특히 Fooder 로더와 MuddyViper 백도어를 비롯한 새로운 구성 요소의 도입은 MuddyWater의 기술 및 운영 측면에서 주목할 만한 발전을 보여줍니다. MuddyWater는 더욱 은밀한 지속성 메커니즘, 더욱 효율적인 신원 정보 탈취, 그리고 심층적인 정찰 역량에 투자하고 있음이 분명합니다.
이 캠페인은 이란과 연계된 사이버 공격자들의 지속적이고 확대되는 위협을 강조합니다. 맞춤형 멀웨어, 은밀한 로더, 합법적인 원격 관리 도구, 그리고 그룹 간 협업이 혼합된 그들의 행태는 이 지역의 조직들이 경계 태세를 강화하고 점점 더 복잡해지는 침입 전략에 대한 방어 체계를 강화해야 함을 시사합니다.
