소설 스파이 그룹, '정밀도'로 통신사 표적으로 삼아

이전에 알려지지 않은 위협 행위자가 최근 몇 년 동안 여러 국가의 통신 회사를 공격한 것과 유사한 사이버 스파이 활동으로 보이는 공격으로 중동의 통신 회사를 표적으로 삼고 있습니다.

새로운 캠페인을 발견한 SentinelOne의 연구원들은 이 캠페인을 WIP26으로 추적하고 있다고 말했습니다. WIP26은 회사가 특정 사이버 공격 그룹의 활동으로 간주할 수 없는 활동에 사용하는 명칭입니다.

이번 주 보고서에서 그들은 WIP26이 퍼블릭 클라우드 인프라를 사용하여 맬웨어를 전달하고 유출된 데이터를 저장하는 것은 물론 명령 및 제어(C2) 목적으로 사용하는 것을 관찰했다고 언급했습니다. 보안 공급업체는 위협 행위자가 탐지를 회피하고 손상된 네트워크에서 자신의 활동을 찾아내기 어렵게 만드는 전술(요즘 많은 사람들이 사용하는 것처럼)을 사용하고 있다고 평가했습니다.

"WIP26 활동은 위협 행위자가 은밀함을 유지하고 방어를 우회하기 위해 TTP(전술, 기술 및 절차)를 지속적으로 혁신하는 관련 사례입니다."라고 회사는 말했습니다.

SentinelOne이 관찰한 공격은 대개 중동 지역의 대상 통신 회사 내의 특정 개인을 대상으로 한 WhatsApp 메시지에서 시작되었습니다. 메시지에는 해당 지역과 관련된 빈곤 관련 주제에 대한 문서가 포함되어 있다고 주장하는 Dropbox의 보관 파일에 대한 링크가 포함되어 있었습니다. 그러나 실제로는 악성코드 로더도 포함되어 있었습니다.

링크를 클릭하도록 속인 사용자는 결국 장치에 2개의 백도어를 설치하게 되었습니다. SentinelOne은 그 중 하나를 발견했는데, CMD365로 추적되었으며 Microsoft 365 메일 클라이언트를 C2로 사용했으며 두 번째 백도어인 CMDember는 동일한 목적으로 Google Firebase 인스턴스를 사용했습니다.

보안 공급업체는 WIP26이 백도어를 사용하여 정찰을 수행하고, 권한을 높이고, 추가 악성 코드를 배포하고, 사용자의 개인 브라우저 데이터, 피해자 네트워크의 고가치 시스템 정보 및 기타 데이터를 훔치는 것으로 설명했습니다. SentinelOne은 두 백도어가 피해자 시스템과 네트워크에서 수집한 많은 데이터를 통해 공격자가 향후 공격에 대비하고 있음을 시사한다고 평가했습니다.

SentinelOne은 "우리가 관찰한 초기 침입 벡터에는 정밀한 타겟팅이 포함되었습니다."라고 말했습니다. "게다가 중동의 통신 제공업체를 표적으로 삼는 것은 이 활동의 ​​동기가 간첩과 관련되어 있음을 시사합니다."

WIP26은 지난 몇 년 동안 통신 회사를 표적으로 삼은 많은 위협 행위자 중 하나입니다. Optus, Telestra 및 Dialog와 같은 호주 통신 회사에 대한 일련의 공격과 같은 최근 사례 중 일부는 재정적 동기에서 비롯되었습니다. 보안 전문가들은 이러한 공격이 고객 데이터를 훔치거나 소위 SIM 스와핑 방식을 통해 모바일 장치를 탈취하려는 사이버 범죄자들 사이에서 통신 회사에 대한 관심이 증가했다는 신호라고 지적했습니다.

그러나 사이버 스파이 활동과 감시가 통신 제공업체에 대한 공격의 주요 동기가 되는 경우가 더 많습니다. 보안 공급업체는 중국, 터키, 이란과 같은 국가의 지능형 지속 위협 그룹이 통신 제공업체의 네트워크에 침입하여 해당 정부의 개인 및 관심 그룹을 감시하는 여러 캠페인을 보고했습니다.

한 가지 예는 중국에 본사를 둔 한 그룹이 특정 개인을 추적할 수 있도록 통화 데이터 기록을 훔치기 위해 전 세계 주요 통신 회사의 네트워크에 침입한 Operation Soft Cell입니다. 또 다른 캠페인에서는 Light Basin으로 추적된 위협 행위자가 13개 주요 통신사의 네트워크에서 IMSI(Mobile Subscriber Identity)와 메타데이터를 훔쳤습니다. 공격자는 캠페인의 일환으로 이동통신사 네트워크에 멀웨어를 설치하여 대상 개인의 전화, 문자 메시지, 통화 기록을 가로챌 수 있었습니다.