APT-Q-63 (中 보안업체 치안신 명명)은 2017년 처음 공개된 중동을 표적으로 하는 APT 공격조직이다. 이들은 최소 2016년 5월부터 활동하며 팔레스타인 교육 기관, 군사 기관 및 기타 중요 영역을 대상으로 사이버 스파이 활동을 지속하고 있으며 민감한 정보를 탈취하는 데 초점을 맞춘 공격을 수행하고 있다.
최근 치안신의 위협분석팀은 일일 위협 헌팅 중 팔레스타인 선거를 미끼로 한 이 조직의 공격 샘플을 확보했다. 공격의 특징은 아래와 같다.
- 공격 샘플은 Delphi 언어로 작성, Word 문서 아이콘으로 위장
- 공격은 팔레스타인 지역을 겨냥한 것으로, 지역의 핫이슈를 공격 미끼로 선택
- 분석 결과, 조직이 이 같은 샘플을 활용한 공격을 수행하기 위해 간단한 파일 구성만 수정한 것으로 나타남
- 해당 공격이 다른 국가에 미치는 영향은 미식별
이번에 확보한 샘플은 RAR 압축 파일로, 파일명은 대학 레포트로 되어있으며 압축을 해제하면 워드 문서 아이콘으로 위장한 EXE 실행 파일이 있고 파일명이 너무나 길어 일일이 확장자를 확인해보지 않는 이상 성공적인 위장 공격을 수행할 수 있다. 파일을 실행하면 미끼 문서가 열리는데, 해당 문서의 내용은 주로 팔레스타인 선거 활동의 위치 협상과 관련한 내용으로 다양한 정당에 관한 정보가 포함되어있다.
한 편, APT-Q-63은 중동에서 매우 활발히 활동하는 APT 조직으로, 윈도우 및 안드로이드 플랫폼 대상 공격 무기를 보유하고 있으며 윈도우 플랫폼의 악성코드는 풍부하고 다양해 백도어가 여러 개로 컴파일된다. 이번에 식별된 샘플을 확인한 결과, 조직의 공격 방법이 크게 변경되지 않았음을 알 수 있다. 정보 탈취를 위해 팔레스타인 선거 관련 핫이슈를 사용하느 것은 조직이 공격을 위해 사회공학을 잘 사용하고 계속 활동하고 있는 것을 보여준다.
[출처 : 中 치안신 / 11.26.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.