머디워터 피싱 캠페인을 통해 전송된 MSP 원격 액세스 도구
딥인스팅트 연구원들은 이란 정보보안부와 연계되어 있으며 주로 공공 및 민간 조직을 대상으로 은밀한 작전을 수행하는 해커 그룹 머디워터가 손상된 기업 이메일을 사용하여 아르메니아, 아제르바이잔, 이집트, 이라크, 이스라엘, 요르단, 오만, 카타르, 타지키스탄, 아랍에미리트연합의 표적에게 피싱 메시지를 보낸다는 사실을 발견했습니다.
딥 인스팅트 보고서에 따르면, 머디워터는 ZIP 아카이브 파일로 리디렉션되는 URL이 포함된 Dropbox 링크 또는 문서 첨부파일을 캠페인의 미끼로 사용했으며, 손상된 기업 이메일 계정도 사용했습니다. 공격자들은 또한 아카이브 파일에 원격 유틸리티 및 ScreenConnect 설치 프로그램을 포함시킨 후 Atera Agent로 전환했습니다.
또한 머디워터는 공격자에게 완전한 시스템 제어 권한을 부여하여 정찰을 수행하고, 추가 백도어를 제공하고, 다른 위협 행위자에게 액세스 권한을 판매할 수 있도록 관리 서비스 제공업체(MSP)를 위해 설계된 원격 관리 도구인 Syncro를 사용합니다.
첫 번째 피싱 이메일은 해커의 공격을 받은 진짜 회사 이메일 계정에서 발송되었지만, 해커 그룹이 보낸 피싱 이메일에는 회사 서명이 없었습니다. 하지만 공격 대상은 자신이 알고 있는 회사의 실제 주소에서 발송된 이메일이기 때문에 이를 신뢰했습니다.
해커 그룹은 보안 소프트웨어/도구에서 탐지될 위험을 줄이기 위해 Syncro MSI 인스톨러를 다운로드할 수 있는 링크가 포함된 HTML 파일을 첨부했습니다. APT 그룹은 HTML 첨부 파일을 미끼로 사용했으며 타사 제공업체를 사용하여 원격 관리 도구 설치 프로그램이 포함된 아카이브를 호스팅했습니다.
또한, 첨부 파일은 아카이브나 실행 파일이 아니므로 피싱 훈련 및 시뮬레이션에서 HTML을 무시하는 경우가 많기 때문에 사용자의 의심을 불러일으키지 않습니다. 또한 HTML 첨부 파일은 수신자에게 자주 전달되며 바이러스 백신이나 이메일 보안 소프트웨어에 의해 차단되지 않기 때문입니다.
이 서비스는 마이크로소프트 원드라이브 파일 스토리지에서 호스팅되는 것으로 알려졌으며, 이전 이메일은 이집트 호스팅 회사의 손상된 이메일 계정에서 전송되었고, Syncro 설치 프로그램은 드롭박스에 저장되어 있었습니다.
이 글의 출처는 BleepingComputer의 기사입니다.