이란 해커 그룹, 이집트와 이스라엘의 중요 인프라를 표적으로 삼기 위해 Snake 악성코드 배포
- 이란과 제휴한 단체가 이스라엘과 이집트 인프라를 표적으로 삼고 있습니다.
- 그룹의 이전 공격은 시끄럽고 탐지하기 쉬웠습니다.
- 새로운 기술과 악성 코드가 배포되었습니다.
“MuddyWater”로 식별된 이란 계열의 해커 그룹은 이스라엘과 이집트의 주요 인프라에 대한 공격 전술을 극적으로 변화시켰습니다.
ESET Research가 관찰한 바에 따르면 이 그룹의 이전 캠페인은 전술, 기술 및 절차(TTP)가 특징적으로 시끄러워서 쉽게 탐지할 수 있었습니다.
그러나 이 그룹은 종종 고전적인 스네이크 게임으로 위장하는 Fooder 로더를 통해 배포되는 새로운 백도어를 사용하기 시작했습니다.
MuddyVipers, 뱀 및 사다리
공격은 일반적으로 이스라엘의 통신, 정부, 석유 및 에너지 부문을 표적으로 삼았습니다. 이 캠페인에서 MuddyWater는 OneHub, Egnyte, Mega 및 기타 무료 파일 호스팅 서비스에서 호스팅되는 설치 파일과 함께 무료 RMM(원격 모니터링 및 관리) 소프트웨어에 연결되는 PDF 첨부 파일이 포함된 피싱 이메일을 배포하는 것으로 시작했습니다.
합법적인 RMM 소프트웨어를 설치하는 대신 파일은 공격자가 백도어를 배포할 수 있는 로더를 설치합니다. ESET에서 관찰한 공격에서는 Fooder라고 알려진 새로 식별된 로더가 MuddyViper 백도어를 배포했습니다.
Fooder에는 독특한 기능이 있습니다. 종종 뱀 게임인 척합니다. Snake의 핵심 로직은 로더에 맞춤형 지연 기능을 제공하여 분석에서 실제 기능을 숨길 수 있으므로 이 기술은 단순한 위장 그 이상입니다.
MuddyViper의 백도어도 이전에는 볼 수 없었습니다. C/C++ 프로그래밍 언어로 작성된 MuddyViper는 시스템 정보를 수집하고, 파일을 다운로드 및 업로드하고, 파일 및 셸 명령을 실행하고, 가짜 Windows 보안 대화 상자를 표시하여 Windows 자격 증명 및 브라우저 데이터를 훔칠 수 있습니다.
MuddyWater 캠페인은 엔지니어링, 지방 정부, 제조, 기술, 운송, 유틸리티 및 대학을 포함한 다양한 분야에 걸쳐 이스라엘의 17개 조직을 대상으로 했습니다. 이 그룹은 또한 기술 부문의 이집트 조직에 대해서도 언급했습니다.
MuddyWater 캠페인에 대한 자세한 내용과 참여 지표를 보려면 ESET의 ‘MuddyWater: Snakes by the riverbank’ 연구를 살펴보세요.
모든 주머니에 맞는 최고의 바이러스 백신