프루프포인트는 2023년 중반에 APT 공격그룹 ‘TA402(Molerats, Gaza Cybergang, Frankenstein, WIRTE로도 알려짐)’의 활동을 처음 감지했다고 최근 밝혔다.

내용에 따르면, TA402는 고도의 복잡성을 지닌 감염망을 이용하면서 자사가 명명한 새로운 형태의 다운로더인 'IronWind로 공격 활동을 펼치고 있는 것으로 조사됐다.

올 7월부터 10월까지 TA402는 Dropbox 링크, XLL 파일, RAR 파일 등의 3가지 변종을 감염망에 이용하였으며, 이는 다양한 목적의 악성코드를 포함하고 있는 DLL을 유도했다.

TA402는 이 캠페인 공격에서 2021년~2022년 주로 사용한 것으로 알려진 Dropbox API 중심 공격 대신 제어형 C2 통신 인프라(actor-controlled infrastructure for C2 communication)를 사용하기 시작했다.

지난 10월 말 프루프포인트 연구진은 “팔레스타인(Palestinian Territories) 이익을 위해 활동해 온 TA402의 타깃 관련 아무런 변동이 없는 것으로 파악하고 있다. 또한, 현재 이스라엘-하마스 분쟁에도 불구하고 임무상 변경에 대한 징후도 전혀 감지되지 않고 있다. 그러나 TA402는 향후에도 상황 전개에 따라 보유한 자원을 전용(redirecting) 할 여지가 남아있다”고 밝혔다.

프루프포인트가 2020년부터 TA402의 보안 공격 행보를 추적한 결과, TA402는 사이버 첩보 활동을 벌이기 위해 항상 새로운 공격 방법과 멀웨어를 만들어 공격을 지속 시도하고 있다.

또한, 보안 감지를 회피하기 위해 지오펜싱(geofencing)과 피해자 유인용 문서(decoy documents)를 계속 사용하고 있다.

TA402는 본래 중동 및 북아프리카 국가 정부기관 내 특정 이익을 목표로 정보수집에 주력하는 단체이지만, 현재 진행 중인 이스라엘-하마스 전쟁 상황에 대응해서 타깃이나 사회공학적 수법을 자체 고안할 수도 있다.

조슈아 밀러(Joshua Miller) 프루프포인트 사이버 위협 연구원은 “TA402사례를 보면 정교한 사이버 첩보 활동이 북한이나 중국, 러시아, 이란에만 국한되지 않는다는 사실을 알 수 있다"며 "TA402가 이어가고 있는 피싱 공격만 봐도 물리전(kinetic warfare)과 무관하게 정보수집을 계속해 나갈 것이라고 예측할 수 있다”고 말했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★