APT34, 레바논 타깃 공격에서 새로운 'SideTwist' 백도어 사용해

 

 

Researchers uncover a new Iranian malware used in recent cyberattacks

 

이란의 공격자들이 레바논을 타깃으로 백도어에 감염시키려 하는 새로운 사이버 스파잉 캠페인을 시작했습니다. 이들은 해킹된 시스템에서 민감 정보를 탈취하려 시도했습니다.

 

사이버 보안 회사인 Check Point는 해당 그룹이 이전에 사용한 기술의 유사점 및 피해자 패턴을 기반으로 이 공격을 APT34의 소행인 것으로 추측했습니다.

 

APT34(OilRig)는 중동의 금융, 정부, 에너지, 화학 및 통신 산업을 공격하는 이란의 전략적 이해에 부합하는 정찰 캠페인을 수행하는 해킹 그룹으로 알려져 있습니다.

 

이 그룹은 보통 링크드인(LinkedIn) 메시지를 통해 피해자에게 직접 미끼 문서를 전달합니다. 최근 일어난 캠페인의 전달 방식은 아직까지 명확히 밝혀지지 않았지만, 예외는 아닙니다.

 

Check Point에서 분석한 워드 문서는 지난 1월 10일 레바논에서 VirusTotal에 업로드 되었습니다.

 

미국의 컨설팅 회사인 Ntiva IT는 컨설팅 회사의 다양한 직책에 대한 정보를 제공한다고 주장하며, 사용자가 내장된 악성 매크로를 활성화할 경우 감염 체인을 시작하며 최종적으로 “SideTwist”라는 백도어를 배포합니다.

 

 

< 이미지 출처 : https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/>

 

 

피해자의 기기에서 기본 정보를 수집하는 것 이외에도, 백도어는 원격 서버와의 연결을 설정해 서버에서 파일 다운로드, 임의 파일 업로드, 셸 명령 실행 등의 추가 명령을 기다립니다.

 

Check Point는 그룹이 새로운 백도어를 사용하는 것에 대해 2019년 해킹 툴 유출 이후 페이로드 무기고를 점검 후 업데이트하려는 지속적인 노력인 것으로 추측했습니다.

 

“이란 정부가 지원하는 APT34는 공격적인 사이버 작전을 통해 레바논에 지속적으로 집중하며 중동 지역에서 정치적 의제를 추진하며 속도를 늦출 기미를 보이지 않고 있습니다. 이들의 운영 방식을 유지하고 기존 기술을 재사용하는 동안, 이 그룹은 보안 업체의 탐지 확률을 최소화하기 위해 업데이트된 새로운 툴을 만들고 있습니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.DOC.Gen’, 'Backdoor.Agent.SideTwist'로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html

https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/