이란의 위협 행위자들은 이번 달에 미국 정부와 보안 연구원 모두의 레이더에 포착되었으며 십자선에 올랐습니다. 위협 활동 이란의 IRGC(이슬람 혁명 수비대)와 관련된 지능형 지속 위협(APT) 그룹으로부터.
수요일 미국 정부는 동시에 공개 정교한 해킹 계획 최근 봉인되지 않은 법원 문서 덕분에 여러 이란 국민에 대한 기소와 이란 APT 활동에 대해 미국 조직에 경고했습니다. 알려진 취약점 악용 — 널리 공격받는 ProxyShell 및 Log4Shell 결함 — 랜섬웨어 공격을 목적으로 합니다.
한편, 최근 별도의 연구에서 이란 정부가 후원하는 위협 행위자가 APT42로 추적된 것으로 밝혀졌습니다. 연결된 30년 이후 호주, 유럽, 중동 및 미국을 목표로 이란에 전략적으로 중요한 개인과 조직을 표적으로 한 사이버 스파이 공격이 2015건 이상 확인되었습니다.
이 소식은 미국과 이란 사이의 긴장이 고조되는 가운데 나왔습니다. 제재 에 대한 사이버 공격을 포함하여 최근 APT 활동에 대한 이슬람 국가에 대한 알바니아 정부 XNUMX월에는 정부 웹사이트와 온라인 공공 서비스가 폐쇄되었고 광범위하게 비난을 받았습니다.
또한 이란이 중국 및 러시아와 더욱 긴밀히 협력하면서 이란과 서방 국가 간의 정치적 긴장이 고조됨에 따라 이란의 사이버 위협 활동에 대한 정치적 동기가 커지고 있다고 연구원들은 말했습니다. 위험 보호 솔루션 제공업체인 Digital Shadows의 수석 사이버 위협 인텔리전스 분석가인 Nicole Hoffman은 정치적 적의 제재에 직면했을 때 공격이 재정적으로 추진될 가능성이 더 높다고 말합니다.
지속적이고 유리한
그럼에도 헤드라인은 최근 이란 APT의 사이버 위협 활동이 급증한 것을 반영하는 것으로 보이지만 연구원들은 최근 공격 및 기소 소식은 전 세계적으로 사이버 범죄 이익과 정치적 의제를 홍보하기 위한 이란의 지속적이고 지속적인 활동을 반영한다고 말했습니다. .
Mandiant 분석가 Emiel Haeghebaert는 Dark Reading에 보낸 이메일에서 "이란의 사이버 위협 활동에 대한 언론 보도 증가가 해당 활동의 급증과 반드시 관련이 있는 것은 아닙니다."라고 말했습니다.
Qualys의 수석 위협 인텔리전스 애널리스트 오브리 페린(Aubrey Perin)은 “국가 활동의 전체 범위를 축소해 보면 이란은 노력을 늦추지 않았습니다.”라고 동의합니다. "조직화된 그룹과 마찬가지로 그들의 지속성은 장기 및 단기 성공의 열쇠입니다."
그럼에도 불구하고 이란은 여느 위협 행위자와 마찬가지로 기회주의적이며 현재 우크라이나에서 진행 중인 전쟁, 인플레이션 및 기타 글로벌 긴장과 같은 지정학적 및 경제적 도전으로 인해 현재 존재하는 만연한 두려움과 불확실성은 확실히 그들의 APT 노력을 부양하고 있습니다. 말한다.
당국이 주목하다
이란 APT의 증가하는 자신감과 대담함은 적어도 지난 XNUMX년 동안 이란의 지속적인 적대적 사이버 개입에 싫증이 난 것으로 보이는 미국을 포함한 글로벌 당국의 눈에 띄었습니다.
법무부(DoJ), 미국 뉴저지 지방 검사실에서 수요일에 공개한 기소장은 2021년 2022월에서 XNUMX년 XNUMX월 사이에 발생하여 일리노이주를 포함한 미국 여러 주에서 수백 명의 피해자에게 영향을 미친 랜섬웨어 활동에 대해 구체적으로 밝혔습니다. 미시시피, 뉴저지, 펜실베니아, 워싱턴.
기소장에 따르면 2020년 XNUMX월부터 현재까지 만수르 아마디(Mansour Ahmadi), 아마드 카티비 아그다(Ahmad Khatibi Aghda), 아미르 호세인 니케인 라바리(Amir Hossein Nickaein Ravari) 등 XNUMX명의 이란 국적자가 미국에서 수백 명의 피해자 데이터를 훔치고 암호화하기 위해 알려진 취약점을 악용한 랜섬웨어 공격에 가담한 것으로 밝혀졌습니다. 영국, 이스라엘, 이란 등.
CISA(Cybersecurity and Infrastructure Security Agency), FBI 및 기타 기관은 인지된 내부 및 외부 위협으로부터 리더십을 방어하는 임무를 맡은 이란 정부 기관인 IRGC와 관련된 행위자가 Microsoft를 악용했으며 계속 악용할 가능성이 있다고 경고했습니다. 및 Fortinet 취약점 — 알려진 Exchange Server 결함 포함 프록시쉘 — 2020년 2021월에서 XNUMX년 XNUMX월 사이에 감지된 활동에서.
이란 APT의 명령에 따라 행동하는 것으로 추정되는 공격자는 랜섬웨어 및 기타 사이버 범죄 활동을 위해 호주, 캐나다 및 영국의 여러 미국 중요 인프라 부문 및 조직에 걸쳐 초기 액세스 권한을 얻기 위해 취약점을 사용했습니다. 말했다.
위협 행위자는 이란 Karaj에 본사를 둔 Najee Technology Hooshmand Fater LLC라는 두 회사 이름을 사용하여 악의적인 활동을 보호합니다. 기소장에 따르면 이란 야즈드에 본사를 둔 아프카르 시스템 야즈드 컴퍼니(Afkar System Yazd Company)가 있다.
APT42 및 위협 파악
Digital Shadows의 Hoffman은 이란 APT에 초점을 맞춘 최근의 헤드라인이 어지러워 보인다면, 그 활동을 식별하는 데만 수년간의 분석과 조사가 필요했고 당국과 연구원 모두 여전히 이 모든 것을 이해하려고 노력하고 있기 때문이라고 Digital Shadows의 Hoffman은 말했습니다.
"일단 식별되면 이러한 공격을 조사하는 데 상당한 시간이 걸립니다."라고 그녀는 말합니다. "분석하고 조립해야 할 퍼즐 조각이 많이 있습니다."
Mandiant의 연구원들은 최근 밝혀진 하나의 퍼즐을 조합했습니다. 수년간의 사이버 스파이 활동 스피어 피싱으로 시작하지만 다른 이란 위협 그룹의 하위 집합으로 여겨지는 IRGC와 연결된 APT42의 안드로이드 폰 모니터링 및 감시로 이어집니다. APT35/챠밍 키튼/인.
두 그룹은 함께 연결 연구원들은 BitLocker를 사용하여 금전적 이익을 위해 랜섬웨어 공격을 수행하는 Phosphorus 하위 그룹으로 Microsoft와 Secureworks에 의해 식별된 분류되지 않은 위협 클러스터(UNC2448로 추적됨)에 대해 말했습니다.
음모를 더욱 심화하기 위해 이 하위 그룹은 DoJ 사건에서 기소된 이란 국민이 운영하는 회사 중 하나인 Najee Technology Hooshmand와 연결되어 있는 Secnerd와 Lifeweb이라는 두 개의 공개 가명을 사용하는 회사에서 운영하는 것으로 보입니다.
조직이 이러한 폭로의 영향을 흡수하더라도 연구원들은 공격이 끝나지 않았으며 이란이 적들에게 정치적 지배력을 행사하려는 목표를 계속 유지함에 따라 다양화될 가능성이 있다고 Mandiant의 Haeghebaert는 이메일에서 언급했습니다.
그는 Dark Reading과의 인터뷰에서 "이란이 장기적으로 사이버 능력으로 가능해진 모든 작전 스펙트럼을 계속 사용할 것으로 평가합니다."라고 말했습니다. "또한 우리는 이란이 국제 무대에서 고립되어 있고 이 지역의 이웃 국가 및 서방 국가와의 긴장이 계속 악화된다면 랜섬웨어, 와이퍼 및 기타 잠금 및 유출 기술을 사용하는 파괴적인 활동이 점점 더 보편화될 수 있다고 믿습니다."
