이란 정부와 연계된 해커들이 스파이 캠페인의 일환으로 위성, 방위 및 제약 산업에 종사하는 수천 개의 조직을 표적으로 삼았다는 새로운 연구 결과가 발표되었습니다. 이 공격의 배후에 있는 해킹 그룹은 여러 표적 조직에 침입하여 데이터를 훔치는 데 성공한 Peach Sandstorm으로 Microsoft에서 추적했습니다. 마이크로소프트는 어느 국가가 공격의 표적이 되었는지는 공개하지 않았습니다.
최근 이란과 관련된 공격은 이스라엘, 미국, 브라질, 아랍에미리트를 중심으로 발생했습니다. 2월부터 7월까지 진행된 새로운 캠페인에서 피치 샌드스톰은 공개적으로 사용 가능한 도구와 사용자 지정 도구를 조합하여 "이란의 국익을 지원하기 위해" 표적을 교란하고 정보를 수집했다고 Microsoft는 밝혔습니다.
피치 샌드스톰은 피해자의 계정에 침입하기 위해 단일 비밀번호 또는 일반적으로 사용되는 비밀번호 목록을 사용하여 대상 디바이스에 대한 무단 액세스를 시도하는 "비밀번호 스프레이"라는 기술을 사용했습니다. 이 기법은 간단해 보이지만 공격자가 성공 확률을 높이고 자동 계정 잠금을 트리거할 위험을 줄일 수 있습니다.Peach 샌드스톰(이전에는 Holmium으로 추적)은 항공 우주, 방위, 화학 및 광업 등의 산업을 대상으로 한 이전 공격에서도 비밀번호 주입을 사용한 적이 있습니다.
조직이 표적을 공격할 수 있게 되면 공격은 더욱 정교해집니다. 예를 들어, Microsoft는 해커가 회사의 AzureHound 및 Roadtools 도구를 사용하여 피해자의 시스템에서 정보를 수집하고, 표적의 클라우드 환경에 있는 데이터에 액세스하고, 관심 있는 특정 데이터를 단일 데이터베이스로 전송하는 것을 발견했습니다.
해킹 조직은 손상된 디바이스에 Azure Arc 클라이언트를 설치한 후 자신의 Azure 구독에 연결하여 해킹된 클라우드 인프라에서 표적이 된 디바이스를 제어할 수 있게 했습니다. 또한 IT 서비스 관리에 사용되는 Zoho ManageEngine과 팀 협업 도구인 Confluence의 취약점 등 잘 알려진 취약점을 악용하려고 시도했으며, 상용 원격 모니터링 및 관리 도구인 AnyDesk를 사용하여 대상에 대한 액세스를 유지하려고 했습니다.
연구원들은 이란 해커들이 브라질, 이스라엘, 아랍에미리트에서 표적을 공격하는 데 사용한 것으로 의심되는 새로운 백도어 도구도 발견했습니다. 사이버 보안 업체 ESET에 따르면 Ballistic Bobcat 또는 Glamour Kitten으로 알려진 해킹 그룹은 2021년 3월부터 2022년 6월 사이에 이 도구를 배포하여 최소 34명의 피해자를 노렸으며, 대부분 이스라엘에 있는 피해자들이었습니다.
최근 Microsoft 보고서에 따르면 이란 국가가 후원하는 해커들이 전통적인 사이버 공격의 영향력을 확대하고 이스라엘과 미국에서 테헤란의 정치적 의제를 추진하기 위해 영향력 작전을 점점 더 많이 사용하고 있다고 합니다.
Peach 샌드스톰이 점점 더 새로운 기능을 개발하고 사용함에 따라 관련 조직은 공격 표면을 강화하고 이러한 공격의 비용을 증가시키기 위해 적절한 방어 체계를 개발하는 것이 중요합니다.