이란 APT는 이스라엘 목표물에 대한 공격에서 인사 요원으로 가장

최근 공개된 이란 정부 배후 조직의 APT 공격과 관련, Siamesekitten(Lyceum 및 Hexane)로 추정되는 공격 조직이 IT 전문가를 유인하고 이들의 컴퓨터를 해킹하여 기업 데이터에 액세스 하기 위해 HR 담당자로 위장한 것으로 드러났다. 이들은 위장할 수 있는 공급망 도구와 대규모 인프라를 사용하여 이스라엘 기업에 침투하고자 했다.

Siamesekitten은 2018년부터 중동과 아프리카에서 사이버 스파이 활동을 수행해왔다. 올 6월과 7월에는 이들이 사회공학적 공격 기법과 Shark라는 백도어를 사용했다고 보안업체 클리어스카이(社)는 밝혔다.

클리어스카이(社)가 공개한 이 조직의 공격 순서는 아래와 같다.

  1. 잠재적 피해자(직원) 선정
  2. HR 부서 직원으로 사칭할 인물 선정
  3. 해당 기업을 사칭하는 피싱 웹사이트 구축
  4. 미끼 파일 생성
  5. 링크드인을 통해 허위 프로필 작성, 2번에서 선정된 HR 부서 직원 사칭
  6. 구인 공고를 통해 잠재적 피해자에게 연락하여 피싱 사이트로 유인
  7. 피해자의 악성코드 다운로드를 통해 컴퓨터 및 서버 감염
  8. DanBot RAT가 감염된 시스템에 다운
  9. 해당 시스템을 통해 데이터 수집, 사이버 스파이 활동 수행

한 편 클리어스카이(社)는 이러한 공격이 최근 몇년 간 널리 사용되는 북한의 구직 관련 공격 캠페인과 유사하다고 밝혔다. 지난해 여름 북한 라자루스 공격, 올 1분기 중동을 겨냥한 이란 오일리그 공격 등 많은 공격 그룹이 이러한 유형의 공격 캠페인을 수행하고 있다고 분석했다.

[출처 : 사이버시큐리티 / 8.18.]