Molerats 해커들, 공개 클라우드 인프라 뒤에 새로운 스파이 공격 숨겨

Molerats Hackers Hiding New Espionage Attacks Behind Public Cloud Infrastructure

 

‘Molerates’의 활발히 발생하는 스파이 활동이 구글 드라이브, 드롭박스 등과 같은 합법적인 클라우드 서비스를 악용하여 악성코드 페이로드를 호스팅하고, 명령 및 제어 서버로 사용하고, 중동 전역의 타깃으로부터 데이터를 훔치는 것으로 나타났습니다.

 

클라우드 기반 정보 보안 회사인 Zscaler에 따르면, 해당 사이버 공격은 최소 2021년 7월부터 시작된 것으로 추정되며 해킹 그룹은 타깃 호스트에 대한 정찰을 수행하고 민감한 정보를 탈취하려고 계속해서 노력 중입니다.

 

TA402, Gaza Hackers Team, Extreme Jackal로도 추적되는 Molerats는 중동에서 활동하는 조직을 주로 노리는 APT 그룹입니다. 이들은 지정학적 및 군사적 주제를 사용하는 마이크로소프트 오피스 첨부 파일을 사용자가 오픈하여 악성 링크를 클릭하도록 유도합니다.

 

 

<이미지 출처 : https://www.zscaler.com/blogs/security-research/new-espionage-attack-molerats-apt-targeting-users-middle-east>

 

 

Zscaler에서 자세히 설명한 최신 캠페인은 감염된 시스템에 결국 Dropbox API를 활용하여 적군이 제어하는 서버와 통신을 설정하고 데이터를 전송하는 .NET 백도어를 전달하기 위해 이스라엘과 팔레스타인 간의 지속적인 갈등과 관련된 내용을 미끼로 사용합니다.

 

특정 명령 코드를 사용하여 해킹된 시스템을 지휘하는 이 임플란트는 스냅샷을 촬영하고, 관련 디렉토리에 파일을 나열 및 업로드하고, 임의 명령을 실행할 수 있는 기능을 지원합니다. 해당 공격 인프라를 조사한 연구원들은 위 목적으로 사용되는 드롭박스 계정 최소 5개를 발견했다고 밝혔습니다.

 

Zscaler ThreatLabz의 연구원인 Sahil Antil과 Sudeep은 "이 캠페인의 목표는 공격자가 선택한 것이며 팔레스타인의 주요 은행 부문의 멤버, 팔레스타인 정당과 관련된 사람들, 터키의 인권 운동가, 언론인을 포함했다"고 밝혔습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/01/molerats-hackers-hiding-new-espionage.html

https://www.zscaler.com/blogs/security-research/new-espionage-attack-molerats-apt-targeting-users-middle-east (IOC)