220420_유명조달기업
이란 해커, 이스라엘 해운업과 글로벌 기업 노린다  
상태바
이란 해커, 이스라엘 해운업과 글로벌 기업 노린다  
  • 곽중희 기자
  • 승인 2022.08.19 10:35
  • 댓글 0
이 기사를 공유합니다

맨디언트가 이스라엘의 해운업, 정부, 에너지, 의료 기관들을 대상으로 한 사이버 공격의 배후로 추정되는 이란 해커 조직 UNC3890에 대한 조사 보고서를 공개했다.

맨디언트 보안 연구팀은 이란과 이스라엘의 해군 간 갈등이 계속되는 가운데 이란이 이스라엘을 겨냥하고 있지만 그 외에 글로벌 기업도 공격 대상에 포함하고 있다고 강조했다.

이란 해커 조직 UNC3890에 대해 맨디언트 위협 인텔리전스 부사장 존 헐트퀴스트(John Hultquist)는 “해운업계와 글로벌 공급망은 붕괴에 특히 취약하며, 이미 약한 수준의 갈등이 존재하는 경우 더욱 그렇다. 이는 글로벌 기업들이 전 세계적 위협에 직면해 있음을 상기시킨다. 이란과 이스라엘 간의 사이버 충돌은 이스라엘은 물론 이스라엘에서 사업을 영위하는 글로벌 기업들까지 위협하고 있다”고 말했다. 

맨디언트가 UNC3890에 대해 공개한 보고서의 개요는 다음과 같다.

UNC3890은 사회 공학 유인책과 이스라엘 선박 회사의 로그인 페이지에 호스팅된 잠재적 워터링 홀(Watering Hole)을 사용해 아래와 같은 두 개의 멀웨어를 유포하고 있다.

이 멀웨어는 맨디언트가 ‘슈가덤프(SUGARDUMP)’라고 명명했으며, 브라우저 자격 증명 도용 악성코드로, 지메일(Gmail), 야후(Yahoo) 및 얀덱스(Yandex) 이메일 서비스를 통해 데이터를 해킹한다.

UNC3890은 오래전부터 인텔리전스 수집에 집중하고 있다. 이는 수집된 데이터가 최근 몇 년 동안 해운업계를 괴롭혔던 ‘해킹 및 유출(hack-and-leak)’과 물리적 전쟁 공격을 위한 다양한 활동을 지원하는 데 활용됐을 가능성을 의미한다.

맨디언트에 따르면, 이들은 이전까지 이란의 위협 그룹에서 관찰되지 않은 TTP(Tactics, techniques and procedures: 전술, 기법 및 절차)를 사용하고 있다.

또한 UNC3890는 ‘도메인과 가짜 로그인 페이지를 호스팅하는 C2(Command-and-Control; 명령 제어) 서버의 상호 연결된 네트워크’를 운영하고 있다.

이들은 오피스 365(Office 365)와 같은 합법적 서비스, 링크드인 및 페이스북과 같은 소셜 네트워크뿐만 아니라 AI 기반 로봇 인형의 가짜 구인 제안과 가짜 광고도 사용한다. 

맨디언트는 수많은 개인이 운영하는 페이스북과 인스타그램 계정의 콘텐츠 스크랩을 포함해 여러 ZIP 파일을 호스팅한 UNC3890 서버를 확인했는데, 이 계정들이 UNC3890의 타깃이 되었거나 사회공학 기법의 유인물로 사용되었을 가능성이 있다고 추정하고 있다.

한편, UNC3890의 공격은 적어도 2020년 말부터 시작됐으며 지금까지 계속해서 진행되고 있다. 
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.