최근 공개된 이란 정부 배후 조직의 APT 공격과 관련, Siamesekitten(Lyceum 및 Hexane)로 추정되는 공격 조직이 IT 전문가를 유인하고 이들의 컴퓨터를 해킹하여 기업 데이터에 액세스 하기 위해 HR 담당자로 위장한 것으로 드러났다. 이들은 위장할 수 있는 공급망 도구와 대규모 인프라를 사용하여 이스라엘 기업에 침투하고자 했다.
Siamesekitten은 2018년부터 중동과 아프리카에서 사이버 스파이 활동을 수행해왔다. 올 6월과 7월에는 이들이 사회공학적 공격 기법과 Shark라는 백도어를 사용했다고 보안업체 클리어스카이(社)는 밝혔다.
클리어스카이(社)가 공개한 이 조직의 공격 순서는 아래와 같다.
- 잠재적 피해자(직원) 선정
- HR 부서 직원으로 사칭할 인물 선정
- 해당 기업을 사칭하는 피싱 웹사이트 구축
- 미끼 파일 생성
- 링크드인을 통해 허위 프로필 작성, 2번에서 선정된 HR 부서 직원 사칭
- 구인 공고를 통해 잠재적 피해자에게 연락하여 피싱 사이트로 유인
- 피해자의 악성코드 다운로드를 통해 컴퓨터 및 서버 감염
- DanBot RAT가 감염된 시스템에 다운
- 해당 시스템을 통해 데이터 수집, 사이버 스파이 활동 수행
한 편 클리어스카이(社)는 이러한 공격이 최근 몇년 간 널리 사용되는 북한의 구직 관련 공격 캠페인과 유사하다고 밝혔다. 지난해 여름 북한 라자루스 공격, 올 1분기 중동을 겨냥한 이란 오일리그 공격 등 많은 공격 그룹이 이러한 유형의 공격 캠페인을 수행하고 있다고 분석했다.
[출처 : 사이버시큐리티 / 8.18.]
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.