Suspected Iranian Hackers Used Compromised Indian Firm's Email to Target U.A.E. Aviation Sector
- 공격 개요
- 보안업체 Proofpoint는 UNK_CraftyCamel이라는 신규 위협 그룹이 UAE 항공·위성통신 산업을 대상으로 한 정밀 표적 피싱 캠페인을 식별
- 2024년 10월경, 총 5개 미만의 기관 대상으로 이메일 공격 수행
- 공격자는 인도 전자회사 INDIC Electronics의 이메일 계정을 탈취해 신뢰할 수 있는 공급업체로 위장
- 공격 기법 상세
- 이메일 본문에 악성 ZIP 파일 다운로드 링크 포함
- 도메인:
indicelectronics[.]net(정상 기업 도메인 유사 위장) - ZIP 압축파일 내부 구성
- XLS 파일 위장 LNK 파일: Windows 바로가기 파일, 더블 확장자로 Excel 파일로 위장
- 2개의 Polyglot PDF 파일
- 하나는 HTA(HTML Application) 파일 포함
- 다른 하나는 ZIP 파일 포함
- Polyglot 파일은 PDF, HTA, ZIP 등 다중 형식으로 해석 가능, 탐지 회피에 유리
- 도메인:
- 이메일 본문에 악성 ZIP 파일 다운로드 링크 포함
- 실행 흐름
- LNK 파일 실행 →
cmd.exe호출 mshta.exe이용해 PDF/HTA 파일 실행- HTA 스크립트가 ZIP 파일 해제 후 내부 URL 파일 실행
- URL 파일은 악성 바이너리 로딩 후 이미지 파일에서 XOR(키: “234567890abcdef”)을 이용해 DLL 백도어 디코딩 및 실행
- LNK 파일 실행 →
- 악성코드 ‘Sosano’ 분석
- 언어: Golang 기반
- 주요 기능
sosano: 현재 디렉터리 조회 또는 변경yangom: 디렉터리 내 파일 열람monday: 후속 페이로드 다운로드 및 실행raian: 디렉터리 삭제lunna: 쉘 명령 실행
- 기능은 제한적이나 C2 서버와 접속 후 명령 대기 가능
- 위협 그룹 배경 및 평판
- Proofpoint는 이란 혁명수비대(IRGC) 연계 가능성 제시
- 기존 위협 그룹과 전술(TTPs) 유사성 없음, 독자적인 그룹으로 분석됨
- 공급망 신뢰 관계 악용, 다중 형식 위장, 최소 타겟 정밀 피싱이 특징
- UAE 핵심 산업군인 항공, 위성통신, 운송 인프라를 표적으로 정보 수집 목적의 사이버 첩보 활동 수행
- 결론
- 공급망 연계 이메일 계정 탈취를 통한 정교한 공격 가능성 상존
- Polyglot 파일, LNK 우회 기법 등 고도화된 피싱 수법은 EDR 탐지 회피 가능성 높음
- 표적 산업군(항공, 통신, 기반시설)은 메일 필터링 강화, ZIP+LNK 조합 차단, 공급망 파트너 보안 상태 검증 필수
- 국가 차원에서는 사이버 방첩 활동 강화 및 IRGC 연계 그룹 위협 분석 체계 고도화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Ghost (Cring) 랜섬웨어 위협 분석 보고서 (1) | 2025.03.24 |
|---|---|
| Microsoft, VBS Enclave 보안 강화를 위한 기술 권고사항 발표 (0) | 2025.03.24 |
| Microsoft, Windows 11 24H2 및 Windows Server 2025에서 DES 암호화 제거 (0) | 2025.03.24 |
| 가트너 발표, 2025년 사이버 보안 6대 트렌드 (0) | 2025.03.24 |
| AWS, 5G 및 클라우드 RAN 위한 아웃포스트 랙·서버 시리즈 발표 (0) | 2025.03.24 |