지난주 목요일 영국 국가사이버보안센터(NCSC)는 러시아와 이란 정부가 지원하는 행위자가 정보 수집 작전을 위해 수행하는 스피어 피싱 공격에 대해 경고했다.

더해커뉴스 보도에 따르면, NCSC는 "공격은 일반 대중을 겨냥한 것이 아니라 학계, 국방, 정부 기관, NGO, 싱크 탱크, 정치인, 언론인, 활동가 등 특정 부문을 대상으로 한다"고 밝혔다고 전했다. 

기관은 침입이 SEABORGIUM(일명 Callisto, COLDRIVER 및 TA446) 및 APT42(일명 ITG18, TA453 및 Yellow Garuda)에 의해 이루어졌다고 보고 있다. 운영 방식의 유사점은 제쳐두고 두 그룹이 서로 협력하고 있다는 증거는 없다.

이 활동은 위협 행위자가 타깃에 맞는 메시지를 보내는 동시에 관심사를 조사하고 사회적 및 직업적 영역을 식별하는 데 충분한 시간을 할애하는 전형적인 스피어 피싱 캠페인이다.

초기 접촉은 신뢰를 얻기 위해 무해한 것처럼 보이도록 설계되었으며 악용 단계로 진행하기 전에 몇 주 동안 계속될 수 있다. 이는 데이터 유출을 포함하여 자격 증명 도용 및 향후 손상으로 이어질 수 있는 악의적인 링크의 형태를 취한다.

악성 행위자는 현장 전문가와 언론인을 사칭하여 피해자가 링크를 열도록 속이기 위해 소셜 미디어 플랫폼에 가짜 프로필을 만들었다고 한다.

그런 다음 도난당한 자격 증명은 대상의 이메일 계정에 로그인하고 민감한 정보에 액세스하는 데 사용되며, 메일 전달 규칙을 설정하여 피해자 메일에 대한 지속적인 접근을 유지한다.

러시아 정부가 후원하는 SEABORGIUM 그룹은 자격 증명 수집 공격을 수행하기 위해 합법적인 방위 산업체 및 핵 연구소를 모방한 가짜 로그인 페이지를 구축한 이력이 있다.

이란 이슬람 혁명 수비대(IRGC)의 스파이 조직으로 활동하는 APT42는 PHOSPHORUS와 중복되는 것으로 알려져 있으며 Charming Kitten으로 추적되는 더 큰 그룹의 일부이다.

SEABORGIUM과 같은 위협 행위자는 언론인, 연구 기관 및 싱크 탱크로 가장하여 IRGC의 진화하는 우선 순위를 수용하기 위해 끊임없이 변화하는 도구와 전술을 사용하여 표적에게 접근하는 것으로 알려져 있다.

엔터프라이즈 보안 회사인 Proofpoint는 2022년 12월 이 그룹이 "의료 연구원에서 부동산업자, 여행사에 이르기까지 다양한 배경을 가진 표적을 쫓기 위해 해킹된 계정, 맬웨어 및 대립적인 미끼를 사용"했다고 밝혔다.

또한 이러한 캠페인의 주목할만한 측면은 기업 네트워크에 적용된 보안 제어를 우회하는 수단으로 대상의 개인 이메일 주소를 사용한다는 것이다.

NCSC 운영 책임자인 폴 치체스터(Paul Chichester)는 "러시아와 이란에 기반을 둔 위협 행위자들의 이러한 캠페인은 온라인 자격 증명을 훔치고 잠재적으로 민감한 시스템을 손상시키려는 시도로 무자비하게 목표물을 추적하고 있다."라고 말했다.

★정보보안 대표 미디어 데일리시큐!