새로운 이란 해킹그룹이 미국, 유럽, 이스라엘 방위산업체들을 겨냥한 암호 살포 캠페인의 배후에 있었고, 페르시아만의 지역 항구뿐만 아니라 중동에 초점을 맞춘 해상 및 화물 운송 회사들에 대한 추가적인 해킹 활동을 하고 있음이 포착됐다. 

더해커뉴스에 따르면, 마이크로소프트는 ‘DEV-0343’이라는 이름으로 이 해킹팀을 추적하고 있다고 보도했다.

2021년 7월 말에 처음 관찰된 위협은 250개 이상의 오피스 365 테넌트를 대상으로 한 것으로 추정되며, 그 중 20개 미만은 동일한 암호가 순환되는 무차별 대입 공격 유형인 암호 스프레이 공격 이후 성공적으로 손상되었다. 이 공격은 계정 잠금을 피하며 애플리케이션이나 네트워크에 로그인하기 위해 동일한 암호를 다른 사용자 이름에 대해 순환 대입하는 무차별적인 공격 유형이다.
 

지금까지의 징후는 이 활동이 상업 위성 이미지와 독점적 정보를 훔칠 가능성이 높은 군용 레이더, 드론 기술, 위성 시스템 및 비상 대응 통신 시스템을 생산하는 정부 파트너를 겨냥한 지적 재산권 도난 캠페인의 일부일 가능성을 암시하고 있다.

DEV-0343의 이란 관련성은 "이란 행위자와의 지리적 및 부문별 표적의 광범위한 교차, 이란에서 시작된 다른 행위자와의 기술 및 표적 조정"의 증거에 기초하고 있다고 마이크로소프트 위협 인텔리전스 센터(MSTIC)와 디지털 시큐리티 유닛(DSU)의 연구원들이 말했다.

암호 스프레이는 파이어폭스와 구글 크롬 브라우저를 에뮬레이트하며 운영 인프라를 난독화 하기 위해 명시적으로 사용되는 일련의 고유한 Tor 프록시 IP 주소를 사용한다. 마이크로소프트는 이란 시간으로 일요일부터 목요일까지 오전 7시 30분부터 오후 8시 30분 사이에 공격이 최고조에 이른다는 점을 지적하면서 규모에 따라 한 기업 내 수십에서 수백 개의 계정이 공격 대상이 된다고 말했다.

또한 마이크로소프트는 오피스 365를 표적으로 활발하게 업데이트되는 오픈 소스 유틸리티인 "o365spray"와 암호 스프레이 툴의 유사성을 지적하며, 이제 고객에게 손상된 자격 증명을 완화하고 익명화된 서비스에서 들어오는 모든 트래픽을 금지하기 위해 다단계 인증을 활성화할 것을 촉구했다.

연구원들은 "상업용 위성 이미지와 독점적 선적 계획 및 로그에 대한 액세스 권한을 얻는 것은 이란이 개발 중인 위성 프로그램을 보상하는 데 도움이 될 수 있다. 과거 이란의 해운 및 해상 목표물에 대한 사이버 및 군사 공격을 고려할 때 마이크로소프트는 이러한 활동이 이러한 부문의 회사에 대한 위험을 증가시킬 것으로 생각한다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★