UAE 항공업계, 고도화된 이메일 공격 대상
아랍에미리트(UAE)의 항공 관련 기업들이 첨단 비즈니스 이메일 사기(BEC) 공격의 표적이 되었다. 사이버 보안 기업인 Proofpoint에 따르면, 이번 공격은 인도 전자회사 이메일 계정을 해킹하여 여러 다형성(polyglot) 파일을 배포하는 방식으로 이루어졌다. 이 파일들은 동시에 여러 포맷으로 동작 가능하며, 기업들에 대한 은밀한 백도어 설치를 목적으로 사용되었다.
이 감염 과정은 전통적인 탐지 방법을 회피하도록 설계된 다형성 파일을 전달하면서 시작되었다. 공격자들은 결국 Go 언어로 개발된 맞춤형 백도어인 Sosano를 설치하는 데 성공했다. Sosano는 지속적인 접근을 유지하고 원격으로 추가적인 악성 명령을 실행하기 위해 사용되었다. 이는 원격 서버에 연결하여 명령을 수신하고 추가적인 페이로드를 다운로드했다.
한편, Proofpoint는 공격자 그룹을 UNK_CraftyCamel이라고 명명했으며, 이들이 알려진 사이버 위협 그룹과 직접적인 연관은 없다고 밝혔다. 하지만 이들이 이란 연계 위협 행위자들과 유사점이 있다는 점을 지적했다. 특히, 두 그룹 모두 항공우주 관련 조직을 주요 타깃으로 설정하고, HTA 파일을 사용하는 전술을 공유한다는 점에서 공통점을 보였다. Proofpoint는 UNK_CraftyCamel을 독자적인 침입 활동 클러스터로 평가했다.
출처 : 원문 보러가기