자격 증명을 수집하기 위해 정부, NGO 및 정부 간 조직을 표적으로 삼는 이란 국가 후원 APT42 해커 그룹

사이버 보안 영역에서는 경계가 가장 중요합니다. Google Cloud의 Mandiant에서 최근 폭로한 내용은 이란에서 이슬람혁명수비대(IRGC)를 대신하여 활동하는 것으로 여겨지는 국가 후원 사이버 스파이 그룹인 APT42의 사악한 활동을 밝혀냈습니다. 최소 2015년부터 시작된 APT42는 NGO, 정부 기관, 정부 간 조직을 비롯한 다양한 기관을 표적으로 삼아 심각한 위협으로 등장했습니다.

Calanque 및 UNC788과 같은 다양한 별칭으로 운영되는 APT42의 작업 방식은 우려되는 만큼 정교합니다. 이 그룹은 사회 공학 전술을 활용하여 언론인과 이벤트 주최자로 가장하여 표적의 네트워크에 침투합니다. APT42는 이러한 기만적인 전략을 활용하여 의심하지 않는 피해자의 신뢰를 얻고 무단 액세스를 위한 귀중한 자격 증명을 수집할 수 있습니다.

APT42 접근 방식의 특징 중 하나는 악의적인 활동을 촉진하기 위해 여러 백도어를 활용한다는 것입니다. Mandiant의 보고서는 최근 공격에서 두 가지 새로운 백도어가 배포되었음을 강조합니다. 이러한 은밀한 도구를 사용하면 APT42는 오픈 소스 도구와 내장 기능을 활용하여 클라우드 환경에 침투하고, 민감한 데이터를 유출하고, 탐지를 회피할 수 있습니다.

Mandiant의 분석은 APT42가 운영에 사용하는 복잡한 인프라를 더욱 드러냅니다. 이 그룹은 광범위한 자격 증명 수집 캠페인을 조율하여 대상을 세 가지 클러스터로 분류합니다. 미디어 조직으로 가장하는 것부터 합법적인 서비스를 사칭하는 것까지, APT42는 피해자가 로그인 자격 증명을 공개하도록 유인하기 위해 다양한 전술을 사용합니다.

더욱이 APT42의 활동은 전통적인 사이버 스파이 활동을 넘어 확장됩니다. 이 그룹은 Nicecurl 및 Tamecat과 같은 맞춤형 백도어 배포에서 알 수 있듯이 전술을 적용 하려는 의지를 보여주었습니다. VBScript와 PowerShell로 각각 작성된 이러한 도구를 사용하면 APT42는 임의의 명령을 실행하고 손상된 시스템에서 민감한 정보를 추출할 수 있습니다.

지정학적 긴장과 지역 갈등에도 불구하고 APT42는 정보 수집을 계속 추구하고 있습니다. Mandiant의 조사 결과는 이 그룹이 미국, 이스라엘 및 기타 지역의 민감한 지정학적 문제와 관련된 기업을 계속 표적으로 삼고 있기 때문에 그룹의 회복력과 지속성을 강조합니다. 더욱이 APT42의 활동과 Charming Kitten과 같은 다른 이란 해킹 그룹의 활동이 중복된다는 점은 이란 사이버 작전의 조직화되고 다면적인 성격을 강조합니다.

이러한 위협에 직면하여 선제적인 사이버 보안 조치가 필수적입니다. 조직은 경계심을 늦추지 않고 강력한 보안 프로토콜을 사용하고 사이버 방어의 최신 개발 상황을 파악해야 합니다. 협업과 정보 공유를 강화함으로써 글로벌 커뮤니티는 APT42와 같은 그룹이 제기하는 진화하는 위협 환경에 더 잘 대처할 수 있습니다.

궁극적으로 Mandiant가 제공한 정보는 사이버 위협의 지속적이고 만연한 특성을 일깨워주는 역할을 합니다. 기술이 계속해서 발전함에 따라 우리의 방어도 발전해야 합니다. 집단적 행동과 흔들리지 않는 노력을 통해서만 우리는 APT42와 같은 국가 후원 사이버 스파이 그룹이 제기하는 위험을 완화할 수 있기를 바랄 수 있습니다.