Tickler Malware
이란 국가가 지원하는 위협 행위자가 미국과 아랍에미리트의 조직을 표적으로 삼는 공격에서 새로 개발된 맞춤형 백도어를 사용하고 있습니다.Peach Sandstorm 및 Refined Kitten으로도 알려진 해킹 그룹 APT33은 이전에 알려지지 않았던 맬웨어(현재는 Tickler로 추적됨)를 배포하여 정부, 국방, 위성, 석유 및 가스 부문의 조직 네트워크를 침해했습니다.연구원에 따르면 이란 이슬람 혁명 수비대(IRGC) 산하에서 활동하는 이 그룹은 2024년 4월에서 7월 사이에 정보 수집 캠페인에 맬웨어를 사용했습니다.이러한 공격 중에 해커는 Microsoft Azure 인프라를 사용하여 명령 및 제어(C2) 작업을 수행했으며, 이후 회사에서 중단한 사기성 Azure 구독에 의존했습니다.
목차
공격 작전의 주요 타깃이 되는 부문
2024년 4월에서 5월 사이에 APT33은 성공적인 비밀번호 스프레이 공격을 통해 국방, 우주, 교육 및 정부 부문의 조직을 표적으로 삼았습니다. 이러한 공격에는 계정 잠금을 트리거하지 않기 위해 일반적으로 사용되는 제한된 비밀번호 세트를 사용하여 여러 계정에 액세스하려고 시도하는 것이 포함되었습니다.
비밀번호 스프레이 활동은 다양한 부문에서 관찰되었지만, 연구원들은 Peach Sandstorm이 교육 부문에서 손상된 사용자 계정을 특별히 악용하여 운영 인프라를 구축했다고 지적했습니다. 위협 행위자는 기존 Azure 구독에 액세스하거나 손상된 계정을 사용하여 인프라를 호스팅하는 새 구독을 만들었습니다. 이 Azure 인프라는 이후 정부, 방위 및 우주 부문을 표적으로 삼는 추가 작전에 사용되었습니다.
지난해, Peach Sandstorm은 맞춤형으로 개발된 도구를 사용하여 이러한 분야의 여러 조직에 성공적으로 침투했습니다.
Tickler 맬웨어가 추가 맬웨어 위협의 무대를 마련하다
Tickler는 공격자가 손상된 시스템에 추가 맬웨어를 설치할 수 있는 맞춤형 다단계 백도어로 식별됩니다. Microsoft에 따르면 Tickler에 연결된 악성 페이로드는 시스템 정보를 수집하고, 명령을 실행하고, 파일을 삭제하고, 명령 및 제어(C&C) 서버에서 파일을 다운로드하거나 업로드할 수 있습니다.
이전 APT33 사이버범죄 캠페인
2023년 11월, 이란 위협 그룹은 유사한 전술을 사용하여 전 세계 방위 계약자 네트워크를 침해하여 FalseFont 백도어 맬웨어를 배포했습니다. 몇 달 전, 연구원들은 2023년 2월부터 광범위한 비밀번호 스프레이 공격을 통해 전 세계 수천 개의 조직을 표적으로 삼아 방위, 위성 및 제약 분야에서 침해를 초래한 또 다른 APT33 캠페인에 대한 경고를 발표했습니다.
Microsoft는 피싱 및 계정 해킹으로부터 보안을 강화하기 위해 10월 15일부터 모든 Azure 로그인 시도에 대해 다중 요소 인증(MFA)이 필수가 된다고 발표했습니다.
백도어 맬웨어는 피해자에게 심각한 결과를 초래할 수 있습니다.
백도어 맬웨어는 손상된 시스템에 대한 무단 액세스를 제공하여 개인 사용자와 조직 모두에게 상당한 위험을 초래합니다. 백도어 맬웨어는 설치되면 공격자가 기존 보안 조치를 우회하고 피해자의 네트워크를 제어할 수 있는 숨겨진 진입점을 만듭니다. 이러한 높은 액세스는 다양한 심각한 결과로 이어질 수 있습니다.
첫째, 백도어 맬웨어는 공격자가 개인 데이터, 재무 기록, 지적 재산을 포함한 민감한 정보를 수집할 수 있도록 합니다. 이렇게 수집된 데이터는 신원 도용, 금융 사기 또는 기업 스파이에 사용될 수 있습니다. 또한, 맬웨어는 랜섬웨어를 포함한 추가 악성 소프트웨어를 설치하여 추가 공격을 용이하게 할 수 있으며, 이는 중요한 파일을 암호화하고 이를 해제하기 위해 몸값을 요구할 수 있습니다.
둘째, 백도어 맬웨어는 시스템 무결성을 손상시키고 운영을 방해할 수 있습니다. 공격자는 중요한 파일을 조작하거나 삭제하고, 시스템 구성을 조작하고, 보안 도구를 비활성화하여 운영 중단과 상당한 재정적 손실을 초래할 수 있습니다. 이러한 방해는 시스템 중단이 공공 안전과 서비스에 영향을 미칠 수 있는 의료, 금융, 에너지와 같은 중요 인프라 부문에 특히 피해를 줄 수 있습니다.
게다가 백도어 맬웨어는 종종 은밀한 감시와 간첩 활동을 용이하게 합니다. 공격자는 피해자의 지식 없이 사용자 활동을 모니터링하고, 키 입력을 캡처하고, 웹캠 피드에 액세스할 수 있어 개인 정보와 기밀 정보가 침해될 수 있습니다.
요약하자면, 백도어 맬웨어는 데이터 보안, 운영 무결성 및 프라이버시를 훼손하여 심각한 위험을 초래합니다. 지속적이고 무단 액세스를 제공할 수 있는 능력으로 인해 강력한 위협이 되며, 영향을 완화하기 위해 강력한 보안 조치와 경계하는 모니터링이 필요합니다.