최근 몇년 간 남아시아에서는 표적 공격이 끊이질 않고 있으며 관련 정보를 미끼로 사용하여 스피어피싱 공격이 수행되는 것도 남아시아 사이버 공격의 일반적인 특징 중 하나이다.

인도 현지 보도에 따르면 현지 시각 2021년 12월 8일, 인도 참모총장이  헬기사고로 사망하는 사건이 발생했고 해당 사건을 공격 미끼로 삼은 APT 활동이 배후에서 조용히 펼쳐지고 있다.

이에 보안업체 치안신은 일일 샘플 분석을 통해 인도 국방부 참모총장의 충돌 관련 사건을 미끼로 여러 공격 문서를 확보했다. 해당 문서는 원격 템플릿 주입 기능을 이용하여 악성 DDE 도메인 코드가 포함된 문서 파일을 원격으로 로드하고 악성코드 다운로드를 실행했다.

이번에 확보된 샘플은 남아시아 조직 SideCopy가 사용한 이전 공격 방법과 유사하게 DDE 악성 도메인 코드를 사용하여 공격하는 고도의 표적화된 공격으로 조직이 남쪽의 여러 APT 그룹의 공격 방법을 지속적으로 모방하고 있음을 보여준다. 또한 추가 분석을 통해 이번에 확보된 샘플에서 다량의 유인 정보가 인도의 군사 및 경제와 관련된 것으로, SideCopy 조직이 이 정보를 이용해 인도에 대한 공격을 가한 것으로 의심된다.

 

[출처 : 치안신 / 12.20.]