얼마 전, 개인적으로 운용중인 MISP(Malware Information Sharing Platform)에서 재밌는 상관관계를 발견해 글을 작성한다.
발견한 상관관계는 이란이 배후로 있는 것으로 의심되는 APT42(Charming Kitten)의 이벤트에서 나타난다. 아래 글이 해당 사건에 대한 구글 클라우드 측의 보고서이다.
https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations?hl=en
Uncharmed: Untangling Iran's APT42 Operations | Google Cloud Blog
APT42 is using enhanced social engineering schemes to gain access to victim networks, including cloud environments.
cloud.google.com
재밌는 점은, 해당 사건에서 사용한 침해 사이트가 이전에 Lazarus에서 사용한 침해 사이트와 동일하다는 것이다.
두 그룹이 악용한 침해 사이트가 동일하다는 것은 몇 가지 가능성이 있는 것으로 보여지는데, 생각하기로는 아래와 같다.
1. 두 그룹이 목표로하는 해킹 대상이 동일 혹은 비슷하다.
2. 해당 사이트가 매우 취약해 손쉽게 침해 후 악용할 수 있다.
3. 두 그룹이 목표로하는 해킹 대상이 다르지만, 해당 사이트 주소를 포기할 수 없다(위장 등을 이유로).
어떤 가능성이든 재밌는 현상임은 틀림없다. 또한, 최근 북한측에서 러시아와 협력 등을 통해 사이버 쪽도 관련된 지표가 종종 보인다. 이러한 것으로 미루어보면 이란 측과의 협력도 배제할 수는 없다고 생각한다.
'Analysis' 카테고리의 다른 글
| 76. Lazarus's attack using pypi (0) | 2024.07.13 |
|---|---|
| 75. Kimsuky's outlook stealer (0) | 2024.07.03 |
| 73. Kimsuky's 애니챗_20240511.xlsx.lnk (0) | 2024.05.13 |
| 72. Lazarus's Python malware (0) | 2024.05.13 |
| 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) (0) | 2024.04.23 |
