MURKYTOUR Backdoor

2024년 10월, 이란과 연계된 위협 행위자 UNC2428이 이스라엘 개인을 표적으로 삼는 사이버 첩보 작전을 개시했습니다. 이스라엘 방위산업체 라파엘의 채용 담당자로 위장한 이 조직은 구인 광고를 기반으로 한 사회공학적 수법을 사용하여 피해자를 유인했습니다. 피해자들이 관심을 보이자, 라파엘을 모방한 사기성 웹사이트로 리디렉션되어 'RafaelConnect.exe'라는 애플리케이션 도구를 다운로드하도록 유도했습니다.

관심에서 침입까지: 맬웨어 전달 체인

다운로드된 도구는 실제로 LONEFLEET이라는 설치 프로그램이었습니다. 이 도구는 합법적인 구직 포털처럼 보이도록 설계된 그래픽 사용자 인터페이스(GUI)를 특징으로 하며, 개인 정보와 이력서 업로드를 요구합니다. 겉보기에 무해해 보이는 이 인터페이스에는 악의적인 의도가 숨겨져 있었습니다. 데이터가 제출되면 MURKYTOUR라는 백도어가 LEAFPILE이라는 런처를 통해 백그라운드에 은밀하게 배포되어 공격자에게 감염된 시스템에 대한 지속적인 접근 권한을 부여합니다. 이러한 접근 방식은 위협 행위자가 악성 코드 실행을 무해한 활동으로 위장하기 위해 GUI를 전략적으로 사용하는 것을 보여줍니다.

여러 플레이어: 확대되는 이란 사이버 위협 환경

UNC2428은 이란의 더 광범위한 사이버 작전 퍼즐의 한 조각일 뿐입니다. 이 캠페인은 이스라엘 국가 사이버국(Israel National Cyber Directorate)이 기소했으며 이란 정보안보부(MOIS) 산하 조직으로 추정되는 블랙 섀도우(Black Shadow)와 관련된 활동과 유사한 특징을 공유합니다. 이들의 표적은 이스라엘의 여러 분야를 포함하며, 다음과 같습니다.

• 정부와 국방
• 의료 및 금융
• 기술과 커뮤니케이션

MuddyWater 그룹과 연루된 또 다른 공격자인 UNC3313은 2022년부터 스피어피싱 공격을 감행해 왔으며, 합법적인 원격 모니터링 도구를 사용하여 은밀하고 지속적인 접근을 유지하는 것으로 알려져 있습니다. 한편, UNC1549는 기업 환경에 더 잘 통합되고 탐지를 피하기 위해 클라우드 기반 인프라로 전환했습니다.

조작의 주모자: APT42와 그 이후

APT42 는 차밍 키튼(Charming Kitten)으로도 알려져 있으며, 정교한 소셜 엔지니어링 기법으로 악명 높습니다. 이 그룹은 구글, 마이크로소프트, 야후와 같은 주요 플랫폼을 사칭하는 가짜 로그인 페이지를 구축하여 사용자 인증 정보를 수집했습니다. 또한 구글 사이트와 드롭박스와 같은 플랫폼을 사용하여 피해자를 악성 페이지로 유인함으로써 사기 수법을 더욱 강화했습니다.

더욱이 APT34 (OilRig)는 이라크 정부 시스템 공격에 DODGYLAFFA와 SPAREPRIZE와 같은 맞춤형 백도어를 활용했습니다. 사이버 보안 전문가들은 2024년 중동의 다양한 사이버 작전에서 이란 해커들이 개발하거나 사용한 20개 이상의 고유한 악성코드 패밀리를 확인했습니다.

결론: 지속적이고 진화하는 위협

이란 사이버 공격자들은 심리적 조작과 기술적 정교함을 결합하는 전술에서 눈에 띄는 발전을 보였습니다. GUI, 합법적인 도구, 클라우드 서비스를 통해 접근 권한 유지 및 탐지 회피를 위한 접근 방식을 개선하고 있으며, 이는 지역 및 글로벌 사이버 보안 노력에 지속적인 어려움을 예고하고 있습니다.