팔레스타인과 협력하고 있을 가능성으로 보이는 APT 조직이 이전에 문서화되지 않은 NimbleMamba라는 임플란트를 활용하는 새로운 공격 캠페인을 수행하는 것으로 알려졌다.

보안업체 Proofpoint社는 보고서에서 이번 침입이 중동 정부, 외교 정책 싱크탱크, 국영 항공사를 대상으로 하는 정교한 공격 체인을 활용하는 공격 배후로 Molerats(TA402)를 지목하는 보고서를 발표했다.

악성코드 익스플로잇을 지속적으로 업데이트하는 것으로 악명 높은 TA402는 가장 최근에 팔레스타인과 터키의 인권운동가와 언론인을 겨냥한 스파이 공격과 관련 있으며 2021년 6월에 노출된 이전 공격에서는 백도어 LastConn 배포까지 진행된 것으로 알려졌다.

그러나 이 조직은 한동안 활동에 침체기를 보였는데, 이 때 무기고를 재정비한 것으로 판단된다. 이같은 시기를 거쳐 LastConn을 대체하도록 설계된 NimbleMamba가 개발되었고 이는 뒤이어 SharpStage라는 또 다른 백도어의 업그레이드 버전을 제작하기에 이르렀다.

 

[출처 : TheHackerNews / 2.8.]