최근 Proofpoint 연구진이 Crafty Camel이라는 정교한 APT(Advanced Persistent Threat) 그룹이 수행한
사이버 스파이 활동을 발견했습니다.
이 공격은 이란과 연계된 것으로 추정되며, 주요 목표는 아랍에미리트(UAE)의 항공 및 중요 산업 인프라입니다.
📌 공격 개요: 정교한 BEC 피싱 및 폴리글랏(Polyglot) 파일 활용
이 캠페인은 일반적인 해킹이 아닌, 폴리글랏(Polyglot) 파일과 비즈니스 이메일 침해(BEC) 공격을 결합한
고급 기법을 활용합니다.
🔹 목표: UAE의 위성 통신, 항공, 주요 교통 인프라 기업
🔹 공격 방식:
1️⃣ INDIC Electronics(인도 기업) 이메일 계정 탈취
2️⃣ 실제 기업 도메인을 모방한 피싱 이메일 발송
3️⃣ ZIP 압축 파일 다운로드 유도
4️⃣ 폴리글랏 파일(PDF & 실행 파일) 사용하여 악성코드 감염
5️⃣ Sosano 백도어 설치 및 추가 공격 수행
Proofpoint 연구원들은 최소 5개 기업이 공격받았으며, 추가 피해자가 있을 가능성이 높다고 분석했습니다.
🛑 폴리글랏 파일(Polyglot) 공격: 보안 우회를 위한 정교한 기법
🔹 폴리글랏 파일이란?
폴리글랏 파일은 두 가지 파일 형식을 동시에 가질 수 있는 특수한 파일입니다.
📁 이번 공격에서 사용된 폴리글랏 파일:
1️⃣ Excel 파일처럼 보이는 Windows 바로가기(.LNK) 파일
2️⃣ PDF처럼 보이는 HTML Application(HTA) 파일
3️⃣ ZIP 압축파일을 포함한 PDF 문서
💡 일반 사용자들은 PDF, Excel 파일로 착각하여 실행하게 되고, 악성코드가 활성화됨
🔹 Sosano 백도어: 숨겨진 악성코드
🔹 Golang 기반 신규 백도어
🔹 기능:
✔️ 시스템 디렉토리 읽기/삭제
✔️ 원격 명령 실행 (Shell)
✔️ 추가 페이로드 다운로드 및 실행
이 백도어는 크기가 12MB로 상당히 크며, 불필요한 라이브러리를 포함하여 보안 분석을 방해하는 전략을 사용합니다.
🎯 이란 APT 그룹과의 연관성
Proofpoint는 Crafty Camel이 이란과 관련된 APT 그룹과 유사한 TTP(전술, 기법, 절차)를 사용하고 있음을 밝혔습니다.
연관 가능성이 있는 이란 APT 그룹:
- TA451 (APT33, Elfin, Peach Sandstorm)
- TA455
이들은 이란 혁명수비대(IRGC)와 연계된 조직으로,
지정학적 정보 수집 및 사이버 스파이 활동을 수행하는 것으로 알려져 있습니다.
💡 이란의 주요 사이버 전략:
- 중동 지역 국가의 기술 정보 탈취
- 위성 및 항공 기술 모니터링
- 사이버 공간을 통한 전략적 정보 수집
이번 공격도 이란의 사이버 전략과 일치하는 방식을 보이며,
Proofpoint는 Crafty Camel이 이란 정부와 연계되었을 가능성이 크다고 분석했습니다.
🛡️ 방어 전략 및 보안 조치
🔹 1️⃣ 이메일 보안 강화
✅ 이메일 도메인 스푸핑 탐지(DMARC, SPF, DKIM 적용)
✅ 의심스러운 첨부 파일 다운로드 방지
✅ 비즈니스 이메일 침해(BEC) 훈련 시행
🔹 2️⃣ 파일 실행 정책 강화
✅ LNK 및 HTA 파일 실행 차단
✅ 알 수 없는 PDF 및 ZIP 파일 다운로드 제한
✅ 파일 확장자 숨김 해제하여 실 파일 형식 확인
🔹 3️⃣ 네트워크 보안 및 엔드포인트 보호
✅ IDS/IPS(침입 탐지 및 방지 시스템) 활성화
✅ 백도어 탐지 및 행위 기반 탐지 솔루션 사용
✅ 비인가된 외부 서버 연결 모니터링 및 차단
🔹 4️⃣ Golang 기반 악성코드 탐지 강화
✅ Sosano 백도어와 같은 대형 실행 파일 탐지 정책 적용
✅ Golang 기반 악성코드 서명 업데이트
🚀 결론: 이란의 사이버 스파이 위협, 철저한 보안 필요!
이번 Crafty Camel 공격은 고급 폴리글랏 파일 기술과 BEC 공격을 결합한 새로운 형태의 APT 위협입니다.
UAE의 항공 및 주요 인프라 기업이 타겟이 되었으며, 이란 정부와 연계된 가능성이 매우 높습니다.
📢 기업과 기관들은 이메일 보안 강화, 파일 실행 정책 개선, Golang 악성코드 탐지 솔루션을 도입해야 합니다!
💡 앞으로도 국가 지원 해킹 그룹의 사이버 공격은 계속될 것이므로,
기업들은 선제적 보안 조치를 반드시 마련해야 합니다. 🔒🚀
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🚨 엘론 머스크의 최측근, 브랜든 스파이크스(Branden Spikes)는 누구인가? (3) | 2025.03.07 |
|---|---|
| 🚨 Lotus Blossom APT: South China Sea 지역을 노리는 Sagerunex 백도어 공격 (0) | 2025.03.06 |
| 🔍 안드로이드 잠금화면 뚫린다?! Cellebrite 제로데이 악용 사건 (1) | 2025.03.04 |
| 🕵️ Anubis 위협 그룹: 주요 산업을 노리는 사이버 악당! (1) | 2025.03.01 |
| 🕵️ 중국 해커들의 OT 산업 겨냥: VPN 취약점 악용한 APT41의 스파이 작전 (2) | 2025.02.28 |