2020년, Pawn Storm 해커 그룹은 사이버 공격을 위해 구글 드라이브에 IMAP 원격 액세스 트로이 목마(RAT)를 전파했다. 이들이 공격한 대상은 외무부, 대사관, 방위 산업 및 군 등 전 세계 다양한 산업이 포함된다. 또한 이 조직은 사이버 공격을 통해 회사 이메일 계정의 자격 증명을 탈취, IMAP RAT 멀웨어를 사용하여 군 및 정부 관련 이메일 주소를 하드코딩한 것으로 알려졌다. 이와 관련하여 최근 노르웨이 당국은 Pawn Storm 해커 그룹이 사이버 공격을 통해 노르웨이 의회를 침공했다고 발표했다.

보안업체 트렌드 마이크로는 Pawn Storm의 활동을 면밀히 모니터링 하고 있다고 밝혔다. 이들은 2020년 3월에 발표된 최신 분석 보고에서 Pawn Storm이 주로 중동 계정을 겨냥하여 공격했다는 것을 밝혔다.

중동에서의 공격은 2020년에도 지속됐는데, 이번 달 초에 이들은 VPN 서비스를 사용해 감염된 클라우드 서버에 연결하고, 클라우드 서버를 사용하여 상업용 이메일 서비스 제공 업체에 연결한 후 오만에 위치한 업체의 이메일 계정에 로그인하여 해당 메일로 피싱 공격을 진행한 것으로 알려졌다. 이를 통해 Pawn Storm이 여러 방식으로 공격 루트를 헷갈리게 한 것을 알 수 있다.

중동에서 시작한 다양한 이메일 계정의 남용은 2019년 5얼에 시작되어 최근까지 계속되고 있다. 그리고 지금은 피싱 메일 뿐만 아니라 IMAP RAT로 손상된 시스템을 사용해 통신한다.

그림 1. 2020 년 8 월에 수집 된 Pawn Storm의 스피어 피싱 이메일.

[출처 : 트렌드마이크로 / 12.22.]