이란의 APT34, 공급망 공격으로 UAE 공격

APT34로 알려진 이란과 연계된 지능형 지속 위협이 다시 한 번 공격을 가하고 있습니다. 이번에는 아랍에미리트(UAE) 내부의 정부 목표물에 접근하려는 궁극적인 목표를 가지고 공급망 공격을 가하고 있습니다.

Kaspersky EEMEA 연구 센터의 수석 보안 연구원인 Maher Yamout는 공격자들이 악성 IT 채용 양식을 미끼로 사용했다고 밝혔습니다. APT34(일명 OilRig)는 UAE의 IT 회사로 가장하기 위해 가짜 웹사이트를 제작하고, 대상 IT 회사에 채용 양식을 보냈으며, 피해자가 광고된 IT 직무에 지원한 것으로 추정되는 악성 문서를 열자 정보 탈취 악성코드가 발생했습니다. 실행.

Yamout은 이 악성코드가 APT34가 IT 회사 고객의 네트워크에 접근할 수 있도록 허용하는 민감한 정보와 자격 증명을 수집했다고 밝혔습니다. 그는 공격자가 명령 및 제어(C2) 통신 및 데이터 유출을 위해 피해자 IT 그룹의 이메일 인프라를 사용하여 정부 고객을 표적으로 삼았다고 설명합니다. Kaspersky는 제한된 다운스트림 가시성으로 인해 정부 공격이 성공했는지 확인할 수 없었지만 Yamout은 그룹의 일반적인 성공률을 고려할 때 성공했다고 "중간 높은 신뢰도로 평가합니다"라고 말했습니다.

Kaspersky의 연구에 따르면 UAE 캠페인에 사용된 악성 코드 샘플은 정부 기관을 표적으로 삼는 것을 포함하여 유사한 전술, 기술 및 절차(TTP)를 사용했던 요르단의 이전 APT34 공급망 침입에 사용된 것과 유사했습니다. 이 경우 Yamout는 LinkedIn이 IT 회사의 채용 노력을 사칭하면서 채용 양식을 전달하는 데 사용되었다고 의심했습니다.

채용 담당자 갬빗은 북한의 라자루스(Lazarus) 그룹이 한 번 이상 사용한 사례와 군대 모집 담당자를 사칭하는 사이버 공격자를 포함하여 수년 동안 수많은 사이버 공격 조직에서 사용해 온 전술입니다.

APT34는 주로 중동에서 활동하는 이란 위협 그룹으로, 다양한 산업 분야에 종사하는 이 지역의 조직을 표적으로 삼고 있습니다. 이는 이전에도 올해 초 UAE에 대한 공격과 같은 다른 사이버 감시 활동과 연관되어 있었습니다.

위협 그룹이 조직 간의 신뢰 관계를 활용하여 주요 목표를 공격하고 전략적 목적을 위해 신중하게 선택된 것처럼 보이는 특정 조직을 체계적으로 표적으로 삼는 공급망 공격을 수행하는 경우가 많습니다.

Mandiant의 연구에 따르면 APT34는 최소 2014년부터 운영되었으며 공개 및 비공개 도구를 혼합하여 사용하고 종종 손상된 계정을 사용하여 스피어 피싱 작업을 수행하며 때로는 사회 공학 전술과 결합됩니다.

Mandiant는 보고서에서 "우리는 APT34가 이란에 대한 언급, 이란 인프라 사용 및 국가 이익과 일치하는 타겟팅을 포함하는 인프라 세부 정보를 기반으로 이란 정부를 대신하여 작동한다고 평가합니다."라고 밝혔습니다. 이는 지난해 APT34의 활동에 대해 이란을 제재한 미국 정부가 공유한 평가다.