이번 캠페인, 과거 이란 정보통신부(MOIS)와 연계된 조직 수법과 일치하는 것으로 밝혀져
[보안뉴스 김형근 기자] 이란과 연계된 것으로 추정되는 해커 조직이 오만의 12개 정부 부처를 대상으로 정밀한 사이버 공격을 감행했다.
이번 공격의 실체는 공격자들이 UAE에 구축한 전초기지인 스테이징 서버(Staging Server)의 디렉토리를 인증 없이 접근 가능하도록 열어두는 실수를 저지르며 들통이 났다. 노출된 서버에는 공격 도구, 명령제어(C2) 코드, 세션 로그 및 훔친 데이터가 즉각 공개돼 분석팀에 포착됐다.
[출처: gettyimagesbank]
공격자들은 웹쉘과 SQL 서버 권한 상승 수법을 동원해 법무부, 왕립 경찰청, 재무부 등 핵심 기관의 네트워크를 장악했다. 특히 법무부와 법률사무처에서만 2만6000건 이상의 사용자 기록과 사법 케이스 데이터를 훔쳐갔다.
공격 도구함에는 익스체인지 이메일 살포, 갓포테이토(GodPotato) 권한 상승 툴 등 12개의 전용 스크립트가 담겨 있었던 것으로 확인됐다. 이들은 탐지를 피하기 위해 데이터를 작은 조각으로 인코딩해 전송하고, 메모리 기반 실행 방식으로 흔적을 지우는 전술을 썼다.
보안업체 헌트아이오(Hunt.io)의 분석 결과, 이번 캠페인은 과거 이란 정보통신부(MOIS)와 연계된 조직들의 수법과 일치하는 것으로 밝혀졌다.
공격 인프라에서 발견된 도구들은 이란계 해킹 그룹인 APT34 및 머디워터(MuddyWater)와 유사성을 보였다.
이번 사건은 적들이 공격 인프라를 구축하는 설정(Setup) 단계와 침입 흔적을 지우는 청소(Cleanup) 단계 사이의 틈을 노출했을 때, 그 찰나를 지체 없이 포착하는 것이 안보 파산을 막는 단호한 방법임을 시사한다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 이란과 연계된 것으로 추정되는 해커 조직이 오만의 12개 정부 부처를 대상으로 정밀한 사이버 공격을 감행했다.
이번 공격의 실체는 공격자들이 UAE에 구축한 전초기지인 스테이징 서버(Staging Server)의 디렉토리를 인증 없이 접근 가능하도록 열어두는 실수를 저지르며 들통이 났다. 노출된 서버에는 공격 도구, 명령제어(C2) 코드, 세션 로그 및 훔친 데이터가 즉각 공개돼 분석팀에 포착됐다.
[출처: gettyimagesbank]
공격자들은 웹쉘과 SQL 서버 권한 상승 수법을 동원해 법무부, 왕립 경찰청, 재무부 등 핵심 기관의 네트워크를 장악했다. 특히 법무부와 법률사무처에서만 2만6000건 이상의 사용자 기록과 사법 케이스 데이터를 훔쳐갔다.
공격 도구함에는 익스체인지 이메일 살포, 갓포테이토(GodPotato) 권한 상승 툴 등 12개의 전용 스크립트가 담겨 있었던 것으로 확인됐다. 이들은 탐지를 피하기 위해 데이터를 작은 조각으로 인코딩해 전송하고, 메모리 기반 실행 방식으로 흔적을 지우는 전술을 썼다.
보안업체 헌트아이오(Hunt.io)의 분석 결과, 이번 캠페인은 과거 이란 정보통신부(MOIS)와 연계된 조직들의 수법과 일치하는 것으로 밝혀졌다.
공격 인프라에서 발견된 도구들은 이란계 해킹 그룹인 APT34 및 머디워터(MuddyWater)와 유사성을 보였다.
이번 사건은 적들이 공격 인프라를 구축하는 설정(Setup) 단계와 침입 흔적을 지우는 청소(Cleanup) 단계 사이의 틈을 노출했을 때, 그 찰나를 지체 없이 포착하는 것이 안보 파산을 막는 단호한 방법임을 시사한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
