2024-10-11 05:50 (금)
이란 머디워터 사이버해킹그룹, 웨비나 초대장 위장해 악성코드 유포…아시아까지 공격 확대
상태바
이란 머디워터 사이버해킹그룹, 웨비나 초대장 위장해 악성코드 유포…아시아까지 공격 확대
  • 길민권 기자
  • 승인 2024.07.16 18:15
이 기사를 공유합니다

머디워터(MuddyWater) 해킹 그룹이 최근 새로운 악성코드를 추가했다. '버그슬립(BugSleep)'이라는 이름의 이 악성코드는 체크포인트 리서치에 의해 발견되었으며, 이란이 지원하는 이 해커 그룹의 발전하는 전술을 보여주고 있다. 머디워터는 전 세계의 다양한 부문을 대상으로 한 지속적이고 정교한 사이버 스파이 캠페인으로 유명하다.

버그슬립 악성코드는 시스템에서 파일을 훔치고 명령을 실행하도록 설계된 맞춤형 악성코드다. 이 악성코드는 웨비나나 온라인 강의 초대장으로 위장한 정교한 피싱 이메일을 통해 배포되고 있다. 이러한 이메일은 수신자를 Egnyte 보안 파일 공유 플랫폼에 호스팅된 악성 페이로드가 포함된 아카이브로 리디렉션한다.

이 악성코드는 여전히 개발 중에 있으며, 여러 버전이 이미 발견되었다. 각 버전은 점진적인 개선과 버그 수정을 보여주며, 이는 개발자의 시행착오 접근 방식을 시사한다. 버그슬립은 머디워터가 이전에 사용했던 Atera Agent와 Screen Connect와 같은 합법적인 원격 관리 도구(RMM)에 의존하지 않는 새로운 전환을 나타낸다.

버그슬립이 배포되면 커스텀 로더를 사용해 마이크로소프트 엣지, 구글 크롬, 애니데스크, 마이크로소프트 원드라이브, 파워쉘, 오페라와 같은 널리 사용되는 응용 프로그램의 활성 프로세스에 자신을 주입한다. 이러한 방법은 탐지를 피하고 감염된 시스템에서 지속성을 유지하는 능력을 향상시킨다.

체크포인트 리서치에 따르면, 머디워터의 새로운 악성코드 임플란트는 정부 기관 및 지방 자치단체에서 항공사 및 미디어 아웃렛에 이르기까지 다양한 대상에 초점을 맞춘 더 광범위한 캠페인의 일환이다. 특히, 이번 캠페인은 이스라엘, 터키, 사우디아라비아, 인도, 포르투갈의 엔터티를 대상으로 하고 있다.

머디워터(MuddyWater)는 Earth Vetala, MERCURY, Static Kitten, Seedworm 등의 이름으로도 추적되며, 2017년부터 활동을 시작했다. 이 그룹은 주로 중동 지역의 목표물을 대상으로 하지만, 그 활동 범위를 중앙 및 남서 아시아, 북미, 유럽 및 아시아의 정부 및 방위 기관을 포함한 사이버 스파이 캠페인으로 확장했다.

2022년 1월, 미국 사이버 사령부(USCYBERCOM)는 머디워터를 이란의 정보 및 보안부(MOIS)와 공식적으로 연계했다. 이는 이 그룹이 이란의 국가 후원 사이버 활동에서 전략적으로 중요한 역할을 한다는 것을 보여준다.

버그슬립 악성코드 및 유사한 위협에 대응하기 위해 사이버 보안 기관들은 다음과 같은 몇 가지 권장 사항을 제시했다:

-모든 계정에 다중 요소 인증(MFA)을 적용

-관리 권한 제한 및 애플리케이션 제어 소프트웨어 사용

-안티멀웨어 및 안티바이러스 솔루션 활성화 및 최신 상태 유지

-운영 체제, 소프트웨어 및 펌웨어의 정기적인 업데이트 및 패치 설치

-피싱 시도를 인식하고 보고하도록 사용자 교육

-알려지지 않은 출처의 이메일에서 하이퍼링크 비활성화 및 외부 메시지에 대한 이메일 배너 구현

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★