PDF 첨부 파일을 열기 전에 내장 링크를 확인하세요

최근 Proofpoint 연구원들의 보고서에 따르면, 이란과 연관된 TA450 해커들은 MuddyWater, Static Kitten, Mango Sandstorm이라는 이름으로도 알려져 있으며, 피싱 캠페인에서 PDF 첨부 파일에 내장된 링크를 사용하는 유료 관련 사회 공학 유인책을 사용했다고 합니다.

피싱 캠페인은 2024년 3월 7일에 시작되어 2024년 3월 11일까지 계속되었습니다. 이 기간 동안 TA450은 악성 링크가 포함된 PDF 첨부 파일이 있는 이메일을 보냈습니다. 이는 TA450 해커들에게는 드문 방법이 아닙니다; 이전에는 이메일 본문에 직접 악성 링크를 추가하곤 했습니다.

이번에는 그들이 진화하여 탐지되지 않도록 추가 단계를 추가했습니다. 이들은 이번에도 악성 링크를 사용했지만 약간 다른 기술을 사용했습니다. 동일한 피해자에게 여러 개의 피싱 이메일을 보내고 악성 PDF 첨부 파일과 다른 내장 링크를 포함시켰습니다.

링크는 Onehub, TeraBox, Egnyte, Sync와 같은 여러 파일 공유 웹사이트로 이어졌으며, 연구원들은 이메일이 또한 손상되었을 가능성이 있다고 의심했습니다.

피해자가 첨부 파일을 열고 링크를 클릭하면, AteraAgent라는 원격 관리 소프트웨어를 설치하는 압축된 MSI로 구성된 Zip 아카이브 파일이 다운로드됩니다. TA450이 이 소프트웨어를 악용합니다. 설치가 완료되면, 이 소프트웨어는 TA450에게 피해자의 장치에 대한 접근을 허용하여 데이터 도난 및 기타 악의적인 행위로 이어질 수 있습니다.

이 방법은 대규모 다국적 조직의 이스라엘 직원들을 대상으로 효과적으로 작동했으며, 해커 그룹은 최소한 2023년 10월 이스라엘-하마스 전쟁이 시작된 이후로 이스라엘 기관을 특별히 겨냥해 왔습니다.

캠페인의 성공은 유인책의 내용과 일치하는 발신자 이메일 계정을 사용한 덕분에 부분적으로 기인할 수 있으며, 이는 이러한 피싱 이메일의 진위를 높입니다.

이 그룹이 이 방법을 사용한 것은 처음이며, 이는 공격의 정교함이 증가했음을 나타내며 일반 사용자들이 이를 발견하기 어렵게 만듭니다.

영향을 고려할 때, 동일한 대상을 여러 번 피싱 이메일로 보내는 것은 성공적인 침투의 확률을 높입니다.

다른 새로운 공격도 나타났습니다. 한 캠페인은 피해자를 속이기 위해 Office 트릭을 사용했으며, Perception Point가 이를 발견했습니다; 전체 이야기는 여기에서 읽어보세요.

위험이 증가하고 공격의 정교함이 높아짐에 따라, 우리는 사용자로서 원치 않는 이메일과 문서를 열 때 항상 주의해야 합니다. 그리고 보안 연구원들은 이러한 유형의 공격을 더 적극적으로 주의해야 합니다.

이 문제에 대한 귀하의 생각은 무엇인가요? 아래 댓글 섹션에서 독자들과 의견을 나누세요.