[데이터넷] 이스라엘-팔레스타인 전쟁 상황이 악화되는 가운데, 사이버 세상에서도 이와 관련된 이슈를 악용한 공격이 이어지고 있어 주의가 요구된다. 맨디언트가 분석한 이란 배후 공격그룹 ‘UNC1549’는 이스라엘과 중동의 항공 우주, 방산 산업을 공격하고 있으며, 터키, 인도, 알바니아도 목표가 될 수 있다고 밝혔다.

맨디언트가 최근 분석한 UNC1549의 공격 캠페인은 스피어피싱, 소셜 미디어를 통해 공격 대상에게 공격 대상에게 이스라엘, 하마스 관련 내용이나 채용 제안이 담긴 가짜 웹 사이트로 유도하는 링크를 보낸다. 이들이 사용하는 가짜 웹사이트는 납치된 이스라엘인들의 귀환을 요구하는 ‘Bring Them Home Now’ 운동으로 위장했다.

공격 대상은 항공우주, 열화상 분야 등 기술·방위 산업계 전문가와 종사자로, 다양한 IT·기술 관련 구인정보를 사용하는 유인물을 사용해 피해자의 의심을 피한다.

공격자가 제시한 링크로 연결된 웹사이트에 방문하면 멀웨어에 감염되며, 마이크로소프트 애저 클라우드 인프라를 사용해 C2 통신을 진행한다. 애저 인프라를 사용하면 정상 통신과 구분이 어렵기 때문에 보안 탐지를 우회할 수 있다.

C2 통신으로 미니바이크(MINIBIKE) 또는 미니버스(MINIBUS) 백도어를 설치해 기기를 감염시키고 페이로드를 설치한다. 감염된 기기에서 정보를 수집하고, 이를 활용해 대상 네트워크 내 다른 장치에 접근할 수 있는 발판을 마련한다. 공격자는 라이트레일(LIGHTRAIL)이라는 독특한 터널러를 사용해 네트워크 확장 단계를 지원한다.

맨디언트는 이들이 이란 정예군 혁명수비대(IRGC)와 공개적으로 연계돼 있다고 예측하고 있으며,과거 방위 계약 업체와 IT 제공 업체를 대상 공급망 침해를 시도했다고 설명했다.

김선애 기자 다른기사 보기