이란 배후 ‘UNC1860’, 중동 통신·정부기관에 백도어 설치 - 데이터넷
이란 배후 ‘UNC1860’, 중동 통신·정부기관에 백도어 설치 - 데이터넷
[데이터넷] 맨디언트가 이란 정보 및 보안부(MOIS)와 연계돼 있는 UNC1860이 중동 전역의 통신·정부기관에 지속적으로 침입, 초기 액세스 정보를 수집해 이란 배후 공격그룹에게 제공하고 있다고
www.datanet.co.kr
- UNC1860의 배후 및 활동
- UNC1860은 이란 정보 및 보안부(MOIS)와 연계된 공격 그룹으로, 중동 전역의 통신 및 정부기관에 지속적으로 침입해 백도어를 설치하고 초기 액세스를 수집
- 최근 이라크 정부를 표적으로 한 APT34의 공격을 지원하고 있음
- 백도어 및 기술적 특징
- 백도어는 이란 바이러스 백신 소프트웨어 필터 드라이버에서 재활용된 윈도우 커널 모드 드라이버를 포함하며, 탐지 회피 기술이 적용됨
- 리버스 엔지니어링 기술을 통해 윈도우 커널 구성 요소에 대한 공격을 지원
- 공격 방식 및 도구
- 템플플레이(TEMPLEPLAY) 와 바이로그린(VIROGREEN) 이라는 멀웨어 컨트롤러를 사용해 초기 액세스와 측면 이동을 지원
- GUI로 작동하는 컨트롤러를 통해 원격 액세스 및 맞춤형 페이로드 배포, 내부 스캐닝 및 익스플로잇 작업이 용이하게 진행됨
- CVE-2019-0604 취약점을 악용하여 셰어포인트 서버에 페이로드 및 백도어를 제공
- 공격 목적 및 영향
- UNC1860은 이란의 사이버 공격 생태계에서 귀중한 자산으로, 정세 변화에 따라 목표를 진화시키며 지속적으로 대응 가능
- 이들은 중동 지역의 주요 통신 및 정부기관을 대상으로, 장기적이고 지속적인 접근 권한을 확보해 침입 및 정보 탈취를 시도
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2027년까지 패스워드리스 인증 확산 (1) | 2024.09.24 |
|---|---|
| PCI DSS v4.0 준수 관리 및 혁신적 스크립트 승인 메커니즘 (0) | 2024.09.24 |
| Supershell Malware를 이용한 Linux SSH 서버 공격 요약 (1) | 2024.09.24 |
| 델에서 발생한 소규모 데이터 침해 사고 (0) | 2024.09.24 |
| TrickMo Android 트로이목마, 접근성 서비스 악용해 기기 내 금융 사기 수행 (0) | 2024.09.24 |