오일알파: 아라비아 반도 전역의 단체를 표적으로 삼는 친후티 단체로 추정되는 그룹

인식트 그룹은 2022년 5월부터 친후티 운동 의제를 지지할 가능성이 있는 위협 그룹인 오일알파(OilAlpha)의 지속적인 캠페인을 추적하고 있습니다.

이 그룹은 비정부, 미디어, 국제 인도주의 및 개발 부문과 관련된 단체를 표적으로 삼았을 가능성이 높습니다. 표적이 된 단체들이 예멘, 안보, 인도주의적 지원, 재건 문제에 대한 관심을 공유했다는 것은 거의 확실합니다. 이 그룹의 활동에는 사우디아라비아 정부가 주도하는 협상에 참석하는 사람들을 표적으로 삼고, 사우디아라비아 정부 및 UAE 인도주의 단체와 연계된 단체를 모방한 스푸핑된 안드로이드 애플리케이션을 사용하는 것도 포함된 것으로 알려졌습니다. 이 글을 쓰는 현재, 공격자들은 후티가 직접 접근하기를 원하는 개인을 표적으로 삼은 것으로 추정됩니다.

사우디아라비아 전화번호로 표적에게 전송된 것으로 알려진 메시지(출처: 메타 1, 2, 3)

오일알파는 후티 반군의 직접적인 통제 하에 있는 것으로 알려진 예멘 국영기업인 공공통신공사(PTC)와 관련된 인프라에 거의 전적으로 의존해 왔습니다. 오일알파는 WhatsApp과 같은 암호화된 채팅 메신저를 사용하여 표적에 대한 소셜 엔지니어링 공격을 시작했습니다. 또한 URL 링크 단축기를 사용했습니다. 피해자 분석에 따르면, 표적이 된 단체의 대부분은 아랍어를 사용하며 안드로이드 기기를 사용하는 것으로 나타났습니다.

오일알파 위협 행위자들은 스파이노트나 스파이맥스 같은 원격 액세스 도구(RAT)로 휴대용 기기를 공격했기 때문에 스파이 활동에 연루되었을 가능성이 높습니다. 또한 이 그룹과 관련된 C2와 통신하는 njRAT 샘플을 관찰한 결과, 오일알파가 테스트 또는 공격 작전에 다른 멀웨어를 사용했을 가능성이 높습니다.

새로운 정보나 광범위한 지정학적 변화가 발견되지 않는 한, 오일알파는 예멘의 정치 및 안보 상황과 예멘에서 활동하는 인도주의 및 NGO 부문에 관심을 가진 단체를 표적으로 악성 안드로이드 기반 애플리케이션을 계속 사용할 가능성이 높습니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.