미국 정부가 현지 시간 기준 1월 13일 이란 정보보안부 관련 해킹 그룹 머디워터(MudyWater)가 일련의 악성 프로그램을 사용해 스파이 및 해킹 활동을 수행하고 있다고 발표했다. 맨디언트는 이 그룹을 TEMP.Zagros라고 명명하고 2017년부터 추적해오고 있다.

이번 머디워터의 사이버 공격에 대해 맨디언트 위협 인텔리전스 수석분석가 사라 존스(Sarah Jones)는 “이란은 사이버 스파이 활동, 사이버 공격 및 정보작전을 수행하는 여러 팀을 보유하고 있다. 이란의 안보기관인 이란 정보보안부(MOIS)와 이란 정예군 혁명수비대(IRGC)는 이란의 적과 전 세계의 경쟁자에 대한 우위를 점하기 위해 이 팀들을 활용하고 있다"고 설명했다.

맨디언트는 2017년 5월부터 공개적으로 머디워터 또는 시드웜(Seedworm)으로 불리는 TEMP.Zagros를 추적해오고 있다. 현재까지 맨디언트가 관찰한 내용은 다음과 같다.

△북미, 유럽, 북아프리카, 코카서스, 남아시아, 서아시아, 동남아시아에서 ▲정부 ▲미디어 ▲에너지 ▲기술 ▲유틸리티 ▲교통 ▲학계 ▲금융 서비스 ▲통신 ▲건설 및 엔지니어링 부문에 걸쳐 수십 개의 조직에 대한 공격 수행.

△맨디언트가 독자적으로 이란 정보보안부 귀속여부를 확인할 수 없지만 지금까지 확인된 정황으로는 이란의 국가적 이익과 의사 결정을 지원하는 정찰을 수행하고 있으며 지리·외교·국방·에너지 관련 자료를 수집하는 임무 진행.

△통신 기업을 대상으로 하는 공격은 주요 목표에 대한 접근 권한과 다른 침투 활동을 용이하게 하기 위해 써드파티를 사용하는 신호로 추정 가능.

△사이버 스파이 활동의 성공을 위해 지속적으로 TTPs(전술, 기법 및 절차) 업데이트.

△초기 침투를 위해 합법적 계정의 손상된 이메일 사서함로부터 공개적으로 사용 가능한 합법적 원격 액세스 소프트웨어를 포함한 스피어피싱 이메일을 보내는 이른바 ‘맨인더메일박스(man-in-the-mailbox)’ 활동 전개.

△멀웨어가 포함된 마이크로소프트 오피스(Microsoft Office) 파일과 같은 악성 첨부 파일을 다운로드하거나 열도록 유인하는 콘텐츠 사용.

△최근 몇 달 동안 코로나19 팬데믹을 유인 테마로 이용.

△피해자의 호스트에 접근하기 위해 합법적인 원격 액세스 소프트웨어 사용.

△명령 제어와 통신을 위해 텔레그램 채널에 의존하는 등 합법적인 사용자 행동과 융합하는 데 집중.

★정보보안 대표 미디어 데일리시큐!★