중동의 지속적인 위협 : Molerats APT 조직, 클라우드를 통해 사이버 스파이 공격 수행

 

“Gaza Hackers Team”으로도 알려진 Molerats APT 조직은 최소 2012년부터 중동에서 활동해오며 중동의 정치 정당 및 개인을 대상으로 공격을 수행해왔다. 이들은 공격에 이스라엘과 팔레스타인 등 정치적으로 관련된 주제라 사용된 미끼를 표적에 대한 스피어 피싱을 진행하는 데 사용한다.

이와 관련 최근 中 보안업체는 위협 헌팅 시스템을 통해 중동에서 Molerats 조직의 사이퍼 스파이 활동을 탐지했으며 분석 결과 아래와 같은 사 실을 발견했다.

공격자는 정치적으로 관련된주제를 사용하여 미끼 문서를 만들고 트로이 목마를 제작하여 공격한다.
관련 트로이 목마는 구글 드라이브와 같은 클라우드 서비스를 사용하여 악성코드를 다운 받도록 유도하고 C2 통신에 Dropbox API를 사용하여 악성코드를 은닉한다.
또한 악성코드는 C2 통신을 통해 합법적인 사이트에서 Dropbox 인증을 얻는 것을 지원한다.
분석 당시 수십 개의 사이트가 감염된 것으로 확인되었으며 대부분의 IP는 Molerats의 공격 대상과 일치했다.
연관성 분석을 통해 공격자가 사용한 SSL 인증서가 Molerats 조직의 과거 자산과 중복되는 것으로 밝혀졌으며 이를 통해 공격자가 Molerats임을 판단할 수 있었다.
한 편 Molerats는 이번 공격에서 미끼 파일을 주로 악성 매크로와 템플릿을 주입하는 방식을 사용하는데, 해당 실행 파일은 주로 오피스 문서 아이콘이나 pdf 문서 아이콘을 위장하는 방법을 사용한 것으로 알려졌다.

 

[출처 : 中보안매체 / 3.8.]