이란과 연계된 위협 행위자 2020년 MABNA 연구소의 활동

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 2020년 한 해 동안 인식트 그룹과 광범위한 사이버 연구 커뮤니티에서 보고한 이란과 연계된 MABNA 연구소 캠페인 활동에 대한 인사이트를 제공하는 것을 목표로 합니다. 이 보고서는 학술 분야에 서비스를 제공하는 과학 단체, 학술 기관 및 소프트웨어 그룹에서 가장 유용하게 사용할 수 있을 것입니다. 이 보고서는 학술 및 과학 기관의 네트워크 보안을 위해 노력하는 블루팀 방어자들과 이란과 연계된 사이버 활동을 연구하는 CTI 그룹이 관심을 가질 만한 보고서입니다. 레코디드 퓨처® 플랫폼, 인식트 그룹 위협 연구, Proofpoint, RiskIQ, Malwarebytes의 연구 결과를 참조했습니다. 이 분석을 수행하는 데 사용된 데이터 소스에는 Recorded Future® 플랫폼, Farsight DNSDB, DomainTools 및 기타 일반적인 오픈 소스 도구와 기법이 포함됩니다.

Executive Summary

미국 법무부가 이란의 이슬람혁명수비대(IRGC)와 연계된 위협 행위자인 MABNA 연구소는 2020년에도 전년과 유사한 전술, 기술 및 절차(TTP)를 사용하여 학술 및 연구 부문 기관을 대상으로 글로벌 활동을 계속했으며, 대규모 피싱과 자격 증명 도용이 이들의 활동의 특징입니다.

2020년 내내 MABNA 연구소 또는 이 행위자와 연관된 것으로 의심되는 운영 클러스터는 이란 내외에서 도메인 등록 및 호스팅 서비스를 포함한 인프라를 계속 사용했습니다. 특히, 이번 조사에서 위협 행위자가 캠페인에 멀웨어를 사용했다는 새로운 증거는 발견되지 않았습니다. 이는 위협 행위자가 국제적으로 인증정보 탈취 작업을 주도하고 이란 내에서 연구 중심 조직에 인증정보를 판매하려는 의지가 강하지만, 피해자 네트워크에 대한 지속성을 유지하는 데는 실질적인 도움이 되지 않을 수 있음을 시사합니다. 그러나 이는 MABNA 연구소와 관련된 다른 요소들이 다른 부문에 대해 멀웨어 기반 침입을 수행하는 것을 배제하지는 않습니다. 

인식트 그룹의 연구 결과, MABNA 연구소와 증거에 기반한 연관성이 없는 그룹도 거의 동일한 활동을 하고 있을 가능성이 있다는 증거가 추가로 발견되었습니다. 이는 전 세계의 대학 및 도서관 기관에 불법적으로 접근하여 관심 있는 구매자를 끌어들이는 지하 시장을 암시합니다. 

위협 행위자는 2020년 내내 높은 작전 템포를 유지했으며, 이러한 작전 속도는 2021년까지 지속될 가능성이 높으며 과거와 마찬가지로 페르시아의 1400년 새해(2021년 3월~2022년 3월)에도 학술 및 과학 단체에 대한 새로운 표적 공격이 최우선 과제로 남아있을 것입니다.

주요 판단

• 2021년 2월부터 3월까지 기록된 미래 네트워크 트래픽 분석 결과, 스페인과 스위스에 있는 MABNA 연구소 포털과 학술 기관 간의 네트워크 통신이 밝혀졌습니다.
• 이란의 연구 및 정보 접근에 대한 수요와 이에 영향을 미친 국제 제재로 인해, 도난당한 자격 증명의 불법 시장은 앞으로도 MABNA 연구소의 운영을 계속 주도할 가능성이 높습니다. 
• 인식트 그룹은 북미, 영국, 유럽, 중동, 아프리카, 아시아 및 아시아 태평양 지역의 국제 고등 교육 기관을 MABNA 연구소 운영이 의심되는 표적으로 지목했습니다. 이러한 피해자학의 특성은 앞으로도 계속될 것으로 보입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.