Watering Hole Attack on Kurdish Sites Distributing Malicious APKs and Spyware
Watering Hole Attack on Kurdish Sites Distributing Malicious APKs and Spyware
SilentSelfie cyberattack targets 25 Kurdish websites, harvesting sensitive data via malicious APKs and tracking scripts.
thehackernews.com
- 공격 개요
- 쿠르드족 관련 웹사이트 25곳이 워터링 홀 공격을 통해 감염됨
- SilentSelfie 캠페인으로 명명된 공격은 2022년 12월부터 시작되어 민감 정보 탈취에 초점을 맞춤
- 4가지 정보 탈취 변종 악성코드가 배포되었으며, 사용자의 위치 정보부터 악성 APK 설치까지 다양한 기능을 수행
- 공격 대상 웹사이트
- 쿠르드 언론 및 미디어, 로자바 행정 및 군사 조직, 튀르키예 및 쿠르드 정치 단체와 관련된 웹사이트들이 공격받음
- 악성 JavaScript 코드가 삽입되어 위치 정보, 장치 정보, IP 주소 등의 데이터를 수집함
- 일부 사이트는 악성 APK 파일을 다운로드하도록 유도하고 사용자 추적을 위해 쿠키를 사용함
- 악성 APK의 동작 방식
- 악성 APK는 웹사이트를 WebView로 임베드하여 작동하며, 연락처 목록, 위치 정보, 시스템 파일을 수집
- 위치 정보는 원격으로 전송되며, 앱 실행 시 10초 후에 데이터를 전송하는 방식으로 동작
- 지속성 메커니즘은 없으나, 사용자 동작에 따라 즉각적으로 동작하는 특징이 있음
- 공격자 배후 가능성
- 공격자는 아직 특정되지 않았으나, 이라크 쿠르드 자치 정부가 배후일 가능성 있음
- 과거 StrongPity, BladeHawk, Sea Turtle 등의 공격 그룹이 쿠르드족을 대상으로 한 바 있음
- 공격의 주요 특징
- 낮은 정교함을 가진 공격임에도 불구하고, 다수의 쿠르드 웹사이트에 장기간 영향을 미침
- 새로운 위협 행위자일 가능성이 있으며, 한정된 능력을 가진 공격자로 평가됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| LLM이 아니라 애플리케이션이 필요한 이유 (1) | 2024.09.30 |
|---|---|
| AI 시대 디지털 회복탄력성의 중요성 (0) | 2024.09.30 |
| 기업의 생성형 AI 사용 현황 및 도전 과제 (0) | 2024.09.30 |
| 피싱 링크 탐지 팁 (0) | 2024.09.30 |
| ‘모건’ 랜섬웨어 분석 및 대응 방안 (1) | 2024.09.30 |