최근 360社는 이스라엘-팔레스타인 지역에 대한 공격을 발견, 공격자들이 다양한 상용 스파이웨어를 사용하고 오픈소스 코드를 기반으로 고유한 스파이웨어를 구축했다. 분석을 통해 공격이 2018년에 시작되어 현재까지 지속되고 있음을 발견했는데, 공격자들이 사용한 공격 도구들에 따라 360사는 공격 대상은 팔레스타인-이스라엘 지역으로 추정했다.
공격자들은 다양한 소셜 애플리케이션, PDF 뷰어 및 기타 어플리케이션으로 위장하여 공격했다. 이중 공격자는 Threema라는 유료의 암호화된 인스턴트 메시징 어플리케이션을 위장했다. 위장한 대상의 CC 정보를 통해 페이스북 사이트로 위장한 피싱 링크를 발견했고, 이를통해 360사는 공격자가 페이스북을 사용하여 피싱사이트를 유포했을 것으로 추측했다.
또한 일부 피해자의 휴대폰에서 샘플이 WhatsApp 파일 경로에 나타나, 공격자가 공격에 다른 소셜 미디어 또한 사용했던 것으로 보여진다. 이 밖에도 구글 드라이브 링크를 클릭하도록 유도하기 위해 이집트 정보회의 관련 pdf 문건을 피싱 문서로 사용했고, 해당 구글 드라이브 링크는 “com.adobe[.]reader.apk라는 악성 APK 파을 설치를 유도한다.
이 밖에 이들은 공격에 SpyNote, Mobihok, WH-RAT, 888-RAT 를 포함한 여러 상용 스파이웨어를 공격에 사용했다. 또한 오픈소스 침투 테스트 프레임워크인 Metasploit도 사용했다. 뿐만 아니라 공격자가 직접 개발한 스파이웨어 EsecretRAT도 공격에 발견되었는데 해당 RAT는 비밀 채팅 어플리케이션으로 위장하고 있다.
한 편, SpyNote는 강력한 기능과 관리 플랫폼을 갖춘 상용 스파이웨어로, 파일 및 SMS 관리, 통화 기록 관리, 연락처, 위치, 계정 정보 확인, 키로깅, 휴대폰 설정, 사진, 오디오, 비디오 녹화, 실시간 녹화, 녹음 등을 수행한다.
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
