요약 : 보안 블로그 시큐리티어페어즈에 의하면 이란의 APT 단체인 TA450이 악성 PDF가 첨부된 피싱 메일을 흩뿌리고 있다고 한다. 이들의 목적은 원격 모니터링 관리(Remote Monitoring and Management, RMM) 소프트웨어인 아테라(Atera)를 피해자의 시스템에 심는 것이다. RMM은 정상적인 관리 도구로 분류되지만 공격자들도 널리 사용하는, 그래서 위치가 애매해진 소프트웨어의 일종이다. 이번 캠페인에 특히 주된 표적이 되고 있는 건 이스라엘의 조직들과, 이스라엘에 우호적인 국가의 단체들이라고 한다.


배경 : TA450은 머디워터(MuddyWater), 시드웜(SeedWorm), 스태틱키튼(Static Kitten) 등의 이름으로도 불리는 공격 단체다. 이번 캠페인은 3월 7일부터 시작된 것으로 분석되고 있으며, 3월 11일까지도 이어졌다. 악성 PDF 파일을 피해자가 열면 집 압축파일이 열리며 원격 관리 프로그램이 설치된다.

말말말 : “TA450이 피싱 공격을 자주 시도하는 건 사실이지만, PDF 파일을 활용한 건 처음입니다. 이들은 악성 파일이 호스팅 되어 있는 곳에 링크를 직접 거는 것을 선호해 왔습니다.” -프루프포인트(Proofpoint)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>