노리는 대학 및 학교의 것과 비슷한 도메인 등록...로그인 페이지 공들여 제작
크리덴셜 수집하는 게 목적인 듯...미국, 영국, 호주 등의 대학에서 피해 발생

[보안뉴스 문가용 기자] 보안 업체 멀웨어바이츠(Malwarebytes)의 보안 전문가들과 CSIS 시큐리티 그룹(CSIS Security Group)이 최근 활발하게 벌어지고 있는 APT 활동에 대한 보고서를 발표했다. 이 활동의 주체는 이란의 APT 단체이며, 피해자들은 전 세계 곳곳의 대학과 학교들이라고 한다.


문제의 단체는 사일런트 라이브러리언(Silent Librarian), TA407, 코발트 디킨즈(Cobalt Dickens)라고 불리며, 코로나 팬데믹 사태가 조금씩 완화되면서 학교로 돌아오는 학생과 교직원들의 로그인 크리덴셜을 노리는 공격을 실시하고 있다고 한다.

공격자들은 먼저 자신들이 노리는 학교와 비슷한 이름의 도메인을 등록하는 것부터 공격을 시작한다. 이들이 원래 사이트와 똑같아 보이기 위해 공을 들이는 건 당연하지만 로그인 페이지다.

그런 후에는 피해자들에게 이 가짜 도메인이 포함된 악성 링크나 HTML 첨부파일을 전송한다. 별다른 경계심 없이 보면 도메인도 학교 주소와 비슷하고, 열리는 페이지는 거의 완전히 똑같기 때문에 속기 쉽다. 사용자들이 여기서 정보를 입력하면 크리덴셜이 고스란히 공격자들에게 넘어간다.

이미 피해가 발생한 대학 기관은 다음과 같다.
1) 빅토리아대학(Victoria University)
2) 위트레흐트대학(Universiteit Utrecht)
3) 스토니브룩대학(Stony Brook University)
4) 브리스틀대학(The University of Bristol)
5) 캠브리지대학(University of Cambridge)
6) 토론토대학(The University of Toronto)
7) 글래스고 칼레도니아 대학(Glasgow Caledonian University)
8) 아들레이드대학(The University of Adelaide Library)

공격자들은 클라우드플레어(Cloudflare) 서비스를 활용해 자신들의 흔적을 감추고 있지만, 일부 캠페인에서 이란의 호스팅 회사의 흔적이 발견됐다고 한다. 이 때문에 이란의 해커들이 용의선상에 올랐다.

이란의 해커들은 최근 정부 지원을 받는 APT 단체들을 중심으로 급격한 성장 속도를 보여주고 있다. 작년 3월에는 마이크로소프트가 이란 해커들이 공격에 활용하고 있는 99개의 주요 웹사이트들을 무력화시킨 바 있다. 당시 이란 해커들은 미국 시민들의 민감한 정보를 수집하고 있었다.

또한 올해 2월에는 ‘폭스 키튼 캠페인(Fox Kitten Campaign)’이 발견되기도 했다. 이 캠페인은 이란의 APT 단체가 진행시킨 것으로, VPN 서버들을 침해함으로써 여러 조직들의 네트워크에 백도어를 심었었다. 이 캠페인은 전 세계적으로 진행됐었다.

지난 달에는 램펀트 키튼(Rampant Kitten)이라고 불리는 6년 짜리 캠페인이 발견되기도 했었다. 이란 APT 조직이 안드로이드 백도어 앱들을 활용해 6년 동안 아무한테도 들키지 않고 염탐 행위를 통해 정보를 수집한 것으로 밝혀졌다.

3줄 요약
1. 이란의 해커들, 전 세계 대학 기관 노리기 시작.
2. 이미 서방권의 여러 대학들에서 로그인 크리덴셜 도난 피해가 발생.
3. 처음에는 그리 대단하지 않았지만 이제는 꽤나 위협적인 존재가 된 이란 해커들.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>