하마스 애플리케이션 인프라, TAG-63 및 이란의 위협 활동과 겹칠 수 있음이 밝혀지다

레코디드 퓨처의 연구 그룹인 인식트 그룹은 하마스 테러 조직의 구성원/지지자들이 사용하는 텔레그램 채널에서 애플리케이션이 유포되는 것을 확인했습니다.

이 애플리케이션은 하마스의 이즈 아드딘 알 카삼 여단 웹사이트와 통신하도록 구성되어 있습니다. 웹사이트와 관련된 인프라를 분석한 결과 하마스 테러 조직의 지시로 활동하는 것으로 추정되는 사이버 그룹 TAG-63(AridViper, APT-C-23, Desert Falcon)의 도메인 등록 기법을 모방한 도메인 클러스터가 확인되었습니다. 또한 이러한 도메인이 Google 애널리틱스 코드를 통해 서로 연결되어 있는 것을 관찰했습니다. 또한 클러스터와 관련된 도메인은 세계고문방지기구(OMCT)를 사칭하는 웹사이트를 호스팅했습니다. 다시 한 번 도메인 등록 패턴을 기반으로 해당 도메인과 이란의 연관성이 있는 것으로 확인되었습니다. 새로 확인된 도메인은 카삼 여단과 조직적 또는 이념적 연관을 공유하는 위협 행위자가 운영했을 가능성이 높습니다. 이 글을 쓰는 시점에서 이란의 이슬람혁명수비대(IRGC), 특히 쿠드스군은 하마스와 기타 팔레스타인 위협 단체에 사이버 기술 지원을 제공하는 이란의 유일한 조직으로 알려져 있습니다.

이 애플리케이션에는 하마스 조직의 웹사이트로 직접 연결되는 링크가 있습니다(출처: 텔레그램).

이 웹사이트는 하마스의 이스라엘 영토 침공이 시작된 이후 간헐적으로 운영되고 있습니다. 2023년 10월 11일부터 이 도메인이 여러 다른 IP 주소를 가리키는 것이 관찰되었는데, 이는 운영성을 보장하고 웹사이트 삭제를 회피하거나 잠재적으로 서비스 거부(DoS) 공격과 관련된 시도일 가능성이 높습니다. 하마스 애플리케이션과 TAG-63 공격과 연관된 것으로 의심되는 도메인 클러스터 사이에서 확인된 인프라 중복은 운영 보안의 허점뿐만 아니라 그룹 간에 공유되는 인프라의 소유권을 보여줄 수 있다는 점에서 주목할 만합니다. 이 관찰을 설명하는 한 가지 가설은 TAG-63이 하마스의 다른 조직과 인프라 자원을 공유한다는 것입니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.