지능형 피싱 및 멀웨어로 미국 정치 단체를 표적으로 삼는 그린챌리 인프라

인싯트 그룹은 이란과 연계된 그룹인 그린찰리(GreenCharlie)의 사이버 위협 활동이 크게 증가했으며, 이는 민트 샌드스톰, 챠밍키튼, APT42와 겹친다는 사실을 확인했습니다. 미국 정치 및 정부 기관을 표적으로 삼는 그린찰리는 정교한 피싱 작업과 고블, 파워스타 같은 멀웨어를 활용합니다. 동적 DNS(DDNS) 공급업체에 등록된 도메인을 포함하는 그룹의 인프라는 그룹의 피싱 공격을 가능하게 합니다.

그린찰리의 지속적인 위협

인싯트 그룹은 2024년 6월부터 이란과 연계된 사이버 위협 그룹인 그린찰리와 연결된 인프라를 추적했으며, 이 그룹은 민트 샌드스톰, 챠밍키튼, APT42와도 연결되어 있습니다. 인식트 그룹의 분석에 따르면 그린찰리 인프라는 미국 정치 캠페인 관계자, 정부 기관 및 전략적 자산을 표적으로 삼는 데 사용된 멀웨어와 관련이 있는 것으로 보고되었습니다.

GreenCharlie는 악성코드와 연관되어 있으며, 그 중 후자는 Google-Mandiant에 의해 확인된 POWERSTAR(CharmPower 및 GorjolEcho라고도 함) 및 GORBLE과 관련이 있습니다. 고블과 파워스타는 모두 동일한 멀웨어 계열의 변종으로, 스피어피싱 캠페인을 통해 스파이 활동을 할 수 있도록 설계되었습니다.

이란과 이와 관련된 사이버 첩보 활동가들은 미국 선거와 국내 정보 공간을 겨냥한 영향력 행사 및 간섭 작전을 수행할 의도와 능력을 지속적으로 보여 왔습니다. 이러한 캠페인은 정치 후보자를 약화시키거나 지지하고 유권자의 행동에 영향을 미치며 불화를 조장하기 위한 해킹 및 유출 전술을 계속 활용할 가능성이 높습니다.

이 그룹의 인프라는 피싱 공격에 사용되는 도메인을 등록하기 위해 Dynu, DNSEXIT, Vitalwerks와 같은 동적 DNS(DDNS) 공급업체를 활용하여 세심하게 구축되었습니다. 이러한 도메인은 클라우드 서비스, 파일 공유 및 문서 시각화와 관련된 기만적인 테마를 사용하여 공격자가 민감한 정보를 공개하거나 악성 파일을 다운로드하도록 유인하는 경우가 많습니다.

레코디드 퓨처의 네트워크 인텔리전스는 그린찰리의 인프라와 통신하는 이란 기반 IP 주소 여러 개를 확인했습니다. ProtonVPN과 ProtonMail의 사용은 이란 APT의 일반적인 전술인 이 그룹의 활동을 난독화하려는 시도를 나타냅니다.

그린찰리의 피싱 작업은 고도로 표적화되어 있으며, 종종 시사 이슈와 정치적 긴장을 악용하는 사회 공학 기법을 사용합니다. 이 그룹은 2024년 5월 이후 수많은 도메인을 등록했으며, 이 중 상당수가 피싱 활동에 사용되었을 가능성이 높습니다. 이러한 도메인은 DDNS 제공업체에 연결되어 있어 IP 주소가 빠르게 변경되므로 그룹의 활동을 추적하기 어렵습니다.

그린찰리가 배포한 멀웨어는 고블과 파워스타를 포함해 다단계 감염 프로세스를 따릅니다. 피싱을 통해 처음 액세스한 후, 멀웨어는 명령 및 제어(C2) 서버와 통신을 설정하여 공격자가 데이터를 유출하거나 추가 페이로드를 전달할 수 있도록 합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.