최근, 이란이 배후로 의심되는 위협행위자들이 최소 2015년부터 표적 장치에서 민감한 정보를 탈취할 수 있는 Windows 원격 액세스 트로이 목마(RAT)를 설치하기 위해 텔레그램 및 Psiphon과 같은 인스턴트 메시징 및 VPN 앱을 활용하는 것으로 드러났다.
이 활동을 종합한 러시아 사이버 보안 업체 카스퍼스키는 해당 공격이 APT로 의심된다고 언급하며 구체적으로 카스퍼스키의 GReAT(Global Research and Analysis Team)은 “이란에서 매우 인기있는 서비스인 Psiphon과 텔레그램을 대상으로 공격을 진행하는 것은 이란 사용자를 대상으로 하는 목적으로 페이로드가 개발되었다는 것을 의미한다”고 밝혔다.
또한 악성파일에 표시되는 미끼 콘텐츠는 종종 정치적 주제를 사용하여 이란 정권 비판을 주제로 한 이미지 또는 비디오를 포함하고 있어 이러한 정치적 견해를 가진 지지자를 겨냥한 것을 시사한다는 것을 알 수 있다.
카스퍼스키의 이 같은 분석은 지난2020년 7월과 2021년 3월, 바이러스토탈에 업로드 된 두 개의 무기화된 문서에서 나왔으며 문서 內 매크로를 활성화하면 MarkiRAT를 배포하게 된다.
MarkiRAT를 설치하면 공격자는 클립 보드 컨텐츠, 파일 다운로드 및 업로드, 피해자 컴퓨터에서 임의의 명령 실행 기능 등 피해자의 개인 데이터에 광범위하게 액세스할 수 있다.
뿐만 아니라 공격자들은 구글 크롬 및 텔레그램과 같은 앱을 실행할 때 악성코드를 실행, 지속성을 유지하게 된다.
[출처 : 더해커뉴스 / 6.17.]
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.