IRGC 수장 사망에 대한 이란의 사이버 대응, 보고된 TTP와 이전 접속을 사용할 가능성이 높습니다.

레코디드 퓨처의 인식트 그룹(® )은 카셈 술레이마니 살해에 대한 이란의 대응 가능성을 분석하기 위해 입수 가능한 정보를 검토했습니다. 이 보고서는 사이버 기반 보복에 관여할 가능성이 있는 전술, 도구 및 그룹을 정리한 것입니다.

이 보고서는 특히 페르시아만의 긴장이 고조되고 있는 상황에서 이란 국가 지원 단체의 표적이 될 우려가 있는 조직과 중동의 지정학적 사건을 주시하는 조직에서 가장 큰 관심을 가질 것입니다.

인시크트 그룹은 이러한 사건과 관련된 새로운 사실이 밝혀지거나 이와 관련된 사이버 위협 활동이 감지되는 대로 업데이트를 제공할 예정입니다. 이란이 국가가 주도하는 사이버 작전을 관리하는 방법과 국가가 후원하는 일부 애국적 해커의 역사에 대한 추가 배경 정보는 이 링크를 참조하세요. 출처에는 Recorded Future® 플랫폼 및 기타 오픈 소스에서 수집한 정보가 포함됩니다.

Executive Summary

1월 3일 새벽, 이란의 카셈 술레이마니 이슬람혁명수비대 쿠드스군(IRGC-QF) 사령관과 이라크의 아부 마흐디 알 무한디스 인민동원군(PMF) 부총사령관 등이 이라크 바그다드 국제공항 인근에서 미국의 미사일 공습으로 사망했습니다. 우리는 특히 솔레이마니와 알무한디스의 사망이 이란과 그 동맹국의 대응을 유발할 가능성이 높다고 평가하며, 여기에는 중동 지역에서 미국과 파트너 정부 및 기업의 이익에 대해 이란 군사 자산과 그 동맹 민병대가 실행하는 보복 비대칭 조치의 패턴이 포함될 수 있다고 평가합니다.

배경

2020년 1월 2일 늦은 저녁(동부 표준시), 이라크 바그다드 국제공항 근처에서 미국의 미사일 공격이 발생했다는언론 보도가 나왔습니다. 이번 공습으로 이란의 이슬람혁명수비대 쿠드스군(IRGC-QF) 수장인 카셈 술레이마니와 이라크 민병대 민중동원군(PMF)의 부국장인 아부 마흐디 알 무한디스 등 여러 명이 사망했습니다. 사망한 것으로 알려진 사람들 중에는 그룹의 홍보 책임자인 모하메드 리다 자브리를 비롯한 PMF의 다른 여러 대표들도 포함되어 있습니다. 미국 국방부의 성명과 이란 정부 기관의 언론 보도는 이번 공습과 솔레이마니가 공격의 목표였다는 사실을 확인시켜 주었습니다.

위협 분석

인사이트 그룹은 특히 솔레이마니의 사망이 이란 정부의 대응을 유발할 가능성이 높다고 평가하며, 여기에는 이란의 군사 자산, 대리인 또는 그 동맹 민병대가 중동 내 미국 정부 및 기업, 사우디아라비아, 아랍에미리트(UAE), 이스라엘 등 미국의 지역 파트너에 대한 보복 비대칭 조치를 실행하는 여러 시나리오가 포함될 수 있다고 전망합니다.

이 글을 쓰는 현재 Recorded Future는 이란의 군사, 외교, 정치 지도자들이 만장일치로 보복 공격이 있을 것이라는 반응을 보였지만, 언제, 어떻게, 어디서 보복 공격이 일어날지에 대한 구체적인 내용은 포함되지 않았습니다. 이란의 최고 지도자 알리 하메네이는 2020년 1월 3일, 솔레이마니에 대한 공격을 주도한 자들에게 "가혹한 복수"가 기다리고 있다고 선언하고 전사한 IRGC-QF 사령관을 추모하기 위한 3일간의 국가 애도 기간을 시작했습니다. 1월 5일 이란 최고지도자의 군사 고문인 호세인 데흐한 소장은 이란의 대응은 "확실히 군사적일 것"이며 미국의 "군사 시설"을 겨냥할 것이라고 말했습니다.

보복의 필요성 읽기

지난 몇 년 동안 솔레이마니 장군은 이슬람 국가(IS) 그룹의 테러 공격과 위협으로부터 국가를 보호하는 전략에 대한 책임이 있다는 인식으로 인해 국내에서도 폭넓은 지지를 받아온 것으로 알려졌습니다 . 몇몇 보도에 따르면 솔레이마니의 죽음으로 인해 최근 이란 군사 역사상 극단적인 폭력 행위가 정부나 이란 군인에게 영향을 미친 경우를 제외하고는 드물게 보복에 대한 요구가 뚜렷해졌다고 합니다. 2017년 6월 이란 의회에 대한 IS의 공격, 2017년 8월 IS에 의한 IRGC 장교 모흐센 호자지 참수 사건 등이 그 예입니다. 전자는 IS에 대한 탄도미사일 공격으로 이어졌고, IRGC 장교 호자지는 IS와의 전쟁에서 상징적인 인물이 되었습니다. 당시 솔레이마니는 많은 IRGC 고위 관리들 중에서도 호자지의 죽음에 대한 대응을 진두지휘했습니다.

솔레이마니의 죽음에 대응하여 이란이 추구할 가능성이 있는 보다 계산된 접근 방식을 보여주는 역사적 사례는 1998년 아프가니스탄 탈레반의 이란 외교관 피살 사건입니다. 1998년, 거의 12명의 이란 외교관이 아프가니스탄 탈레반에 의해 살해된 사건으로 인해 탈레반에 대한 대중의 항의가 이어졌고 약 20만 명의 이란 군대가 동원되었습니다 . RAND Corporation의 연구에 따르면 이란 정부는 아프간 위기에 대처하기 위해 실용적인 의사 결정 과정을 거쳤습니다. 이념적 숙적에 군사적으로 대응하려는 IRGC와 급진 정치 전선의 강경한 이해관계에도 불구하고 최고지도자 하메네이는 "전쟁의 위험 없이" 대응하는 방법을 선택했습니다. 마찬가지로 2020년 1월 5일, 하메네이의 최고 고문인 호세인 데흐간 IRGC 장군은 이란이 솔레이마니 살해에 군사적으로 대응할 것이지만 전쟁을 추구하지는 않을 것이라고 주장했습니다.

인사이트 그룹은 이란이 솔레이마니의 사망으로 인한 압박을 상쇄하고 미국과의 직접적인 군사적 교전 가능성을 더 이상 부추기지 않으면서 균형을 맞추기 위해 신중한 비대칭 대응을 추구할 가능성이 있다고 평가합니다.

최근 비대칭 보복 공격의 사례

과거에 이란 또는 이란의 지원을 받는 세력이 취한 것으로 의심되는 보복 조치에는 다음이 포함되지만 이에 국한되지는 않습니다:

• IRGC-QF는 2019년 내내 사우디아라비아의 압카이크와 쿠라이스 석유 시설에 대한 미사일 공격과 스웨덴 소유 유조선 스테나 임페로 호의 압류 및 납치 사건의 배후로 의심받았습니다.
• 이란은 바레인 등 종파 및 반정부 활동의 근거지로 알려진 지역에서 시아파 단체의 영향력을 이용해 반란을 선동했다는 의혹을 받고 있습니다. 이러한 영향은 2019년 12월 31일부터 2020년 1월 2일까지 이라크 주재 미국 대사관에서 벌어진 폭력 시위의 동기가 된 것으로 보입니다. 보도에 따르면 이번 시위는 알무한디스가 이끄는 이란의 지원을 받는 대리 세력인 카타브 히즈발라의 지지자들에 의해 실행되었다고 합니다.
• 이란은 또한 지역 석유 및 가스 인프라에 대한 방해 행위를 지원한 혐의를 받고 있습니다. 2019년 내내 이란이 예멘의 동맹인 후티 반군(안사르 알라)과 사우디아라비아의 석유 및 가스 인프라에 대한 조직적인 공격과 관련이 있다는 보고가 있었습니다. 바레인에서 이란은 다수의 시아파 민병대를 지원하는 것으로 알려져 있으며, 2017년 11월 바레인 석유 및 가스 인프라에 대한 대규모 공격에 연루된 것으로 추정됩니다.

이란은 미국, 지역 파트너, 서방의 이익에 반하는 대응에 관여할 수 있는 고도로 유능한 컴퓨터 네트워크 운영 팀을 다수 보유하고 있습니다. 레코디드 퓨처는 첩보 활동을 통해 얻은 이전 접근 권한이 이러한 보복 조치를 용이하게 할 가능성이 높다고 생각합니다. 특히, 이란 팀은 이전 공격에서 파괴적인 사이버 역량을 사용했으며, 이는 유사한 상황에서 이러한 멀웨어를 배포할 의지와 능력을 모두 갖춘 것으로 평가합니다. 또한 이란 공격자들은 웹 셸, 비밀번호 스프레이, 맞춤형 멀웨어와 상용 멀웨어의 조합을 통해 표적 환경에 접근하는 것을 선호하는 것으로 알려져 있습니다. 이전의 사이버 대응 시나리오에서 파괴적인 멀웨어가 사용되었음에도 불구하고 솔레이마니 장군이 미국의 공습으로 사망한 것은 독특한 상황이며, 이란이 어떤 사이버 역량을 미국과 파트너의 이익을 위해 활용할지에 대한 우리의 평가에 상당한 불확실성을 불러일으킵니다.

2019년 6월, 레코디드 퓨처는 미국 산업, 주요 인프라, 정부 기관을 표적으로 삼는 APT33 멀웨어 활동을 관찰했습니다. 그 직후인 6월 22일, 도널드 트럼프 미국 대통령은 페르시아만의 긴장이 고조되는 가운데 행정부가 이란의 미사일 시스템에 대한 사이버 공격을 사용했다고 밝혔습니다. 이란은 걸프만에서 일본 유조선에 기뢰를 설치해 이 지역의 긴장을 고조시킨 혐의도 받고 있습니다. 2019년 6월 미국 사이버안보 및 인프라 보안국은 이란 관련 공격자들이 표적에 와이퍼 멀웨어를 배포하는 사례가 증가하고 있다고 보고했지만, NSA의 위협 운영 센터 기술 책임자는 이란 공격자들이 파괴가 아닌 스파이 활동에 초점을 맞춘 정상적인 정보 수집 활동을 계속하고 있다고 밝혔습니다.

이전 액세스 및 도구가 사이버 대응에 도움이 될 수 있습니다.

레코디드 퓨처는 긴장이 고조되는 이 시기에 이란 위협 행위자들이 미국 산업, 주요 인프라, 정부 기관을 지속적으로 표적으로 삼을 것으로 예상합니다. 이란의 공격자들이 사이버 스파이 활동을 위해 미국 국내 정부, 군사 및 상업 기관을 계속 표적으로 삼을 것으로 평가하지만, 페르시아만 지역의 조직은 파괴적인 사이버 공격의 가장 큰 위험에 처해 있습니다. 또한 이란의 APT33, APT34(일명 오일리그) 또는 MUDDYWATER도 사이버 스파이 활동에서 중동의 미국 동맹국 및 파트너를 표적으로 삼을 가능성이 높다고 판단하고 있습니다. 사용자 지정 도구와 상용 도구가 지속적으로 혼합될 것으로 예상되며, 특히 의심스러운 Powershell 및 WMIC 기반 동작을 모니터링할 것을 권장합니다.

• 머디워터 공격자들은 정치적으로 악용되는 스피어피싱과 매크로 또는 도난당한 인증 정보를 사용하여 멀웨어를 유포하고 정보를 훔쳤습니다. 머디워터는 파워스탯이라는 파워쉘 기반 백도어에 크게 의존합니다. 머디워터는 파워스탯을 배포하고 명령 및 제어(C2) 목적으로 프록시로 사용되는 손상된 타사 도메인을 사용합니다.
• APT33은 현재 중동에서 가장 활발하게 활동하는 그룹 중 하나로, 지속적으로 전술을 수정하고 다양한 도구와 기법을 사용하여 피해자를 공격하는 능력을 보여주었습니다. 이 공격자는 파워톤을 포함한 맞춤형 멀웨어 툴킷에서 다양한 도구를 사용하며, njRAT, 파워쉘 엠파이어, 나노코어, 퓨피랫 등 오픈 소스 원격 액세스 트로이목마(RAT)에도 크게 의존하고 있습니다.
• APT39는 주로 통신 부문을 노리는 Chafer 및 Remexi 트로이 목마 제품군을 활용했으며, 여행 업계와 IT 기업을 추가로 표적으로 삼고 있습니다. 통신 및 여행에 중점을 둔 이 그룹의 주된 관심사는 특정 개인을 모니터링하고 국가 우선순위와 관련된 전략적 요구 사항을 충족하는 상업적 또는 운영상의 목적으로 독점 또는 고객 데이터를 수집하는 데 관심이 있는 것으로 평가합니다. 파이어아이의 연구원들은 APT39의 작전이 중동 표적 공격 패턴, 인프라, 시기 측면에서 APT34(오일리그)와 유사하다는 점에 주목했습니다. 좀 더 구체적으로 APT39와 APT34는 동일한 멀웨어 배포 방법, 인프라 명명법, 표적 중첩을 공유합니다.
• 랩 두크테간 유출 사건은 APT34의 맞춤형 툴링을 보여주었습니다: 포이즌프로그, 글림스, 하이퍼쉘, 하이쉘, 폭스 패널, 웹마스크가 그것입니다. 포이즌프로그 임플란트는 파워쉘 기반 다운로더로, VBS 백도어를 내려받습니다. 크로니클과 팔로알토의 평가에 따르면 포이즌프로그는 이전에 파이어아이, 부즈 앨런, 팔로알토의 유닛 42에서 분석했던 본듀데이터 백도어입니다. 웹마스크는 Cisco Talos가 공개한 DNSpionage DNS 하이재킹 캠페인의 일부일 가능성이 높습니다.

APT33, APT34, APT35가 이전에 수행한 인증 정보 수집 활동은 표적 환경에 대한 초기 액세스 권한을 얻는 데 사용될 수 있다고 평가합니다. 최근 주목할 만한 이벤트는 다음과 같습니다:

• 2019년 10월, APT33은 미국과 전 세계의 산업 제어 시스템(ICS) 하드웨어 및 소프트웨어 공급업체에 특별한 관심을 갖고 해당 조직을 대상으로 비밀번호 유출 캠페인을 집중적으로 수행한 것으로 알려졌습니다. 공격자들은 일반적으로 한 번에 50,000~70,000개의 조직을 표적으로 삼았으며, 소수의 자격 증명을 선택하여 각 조직에 대한 액세스를 시도했습니다. 2019년 10월과 11월 사이에는 이러한 표적 공격의 범위가 크게 축소되었는데, APT33은 한 달에 약 2,000개의 조직만을 표적으로 삼아 각 조직의 18~20개 계정에서 900% 증가한 다양한 비밀번호 조합을 시도한 것으로 알려져 있습니다. 비밀번호 스프레이 및 온호스트 활동에 사용되는 명령은 이 GitHub에서 찾을 수 있습니다.
• 마찬가지로 파이어아이는 APT34가 표적 스피어피싱 캠페인에서 인증정보 탈취 멀웨어인 롱워치, 밸류볼트, 톤디프(TONEDEAF)를 사용하는 것도 발견했습니다. 이러한 멀웨어 패밀리는 주로 표적이 된 개인으로부터 인증 정보를 수집하려고 했습니다. 공격자들은 악성 링크가 포함된 LinkedIn 메시지를 사용하여 피해자가 VBA 매크로를 사용하여 멀웨어 제품군을 다운로드하는 합법적인 데이터시트를 다운로드하도록 유도했습니다.
• 워터링 홀 공격, 피싱 이메일, 가짜 소셜 미디어 프로필을 통해 APT35(뉴스캐스터, 포스포러스)의 인증정보 수집을 통해 수집한 데이터도 활용될 수 있습니다. 2019년 10월 4일, Microsoft는 2019년 8월부터 9월까지 30일 동안 APT35가 전현직 미국 정부 관리, 정치 언론인, "저명한" 이란 국외 거주자 외에도 나중에 트럼프 캠페인으로 확인된 미국 대선 캠페인에 2,700건의 침입을 시도한 것이 관찰되었다고 공개했습니다. 이 그룹은 241개의 이메일 계정을 표적으로 삼았으며, 미국 정부 관계자나 캠페인과 관련이 없는 4개의 계정을 탈취하는 데 성공했습니다.
• SeaTurtle의 이전 액세스 또는 DNS 하이재킹 활동에서 수집한 정보, 그리고 DNSpionage/APT34 클러스터는 추가 정보 수집을 용이하게 할 수도 있습니다.

파괴적인 멀웨어

APT33과 APT34는 샤문, 데드우드, 제로클리어를 사용하여 석유 및 가스 부문을 대상으로 한 파괴적인 멀웨어 공격과 관련이 있습니다.

• 2019년 말 버지니아주 알링턴에서 열린 사이버워콘 컨퍼런스에서 마이크로소프트 분석가들은 2019년 6월 사우디아라비아의 VPN 서버에 DEADWOOD라는 파괴적인 멀웨어군을 드롭한 APT33에 대해 발표했습니다. 녹화된 미래는 Microsoft에서 설명하는 맬웨어 제품군에 대한 인사이트를 제공할 수 없습니다. 그러나 2019년 6월 22일 VirusTotal에 업로드된 파일은 나중에 사용자 "THOR scanner"에 의해 중동에서 사용되는 와이퍼로 플래그가 지정되었습니다. 이 파일(857ef30bf15ea3da9b94092da78ef0fc)이 문제의 와이퍼일 가능성이 높습니다.
• APT33은 2012년 파괴적인 멀웨어인 샤문(Shamoon) 을 배포했으며, 2018년 12월 이탈리아 석유화학 계약업체 사이펨(SAIPEM)을 겨냥한 작전에 다른 이란 연계 APT 그룹과 함께 가담한 것으로 의심받고 있습니다.
• 2019년 12월 초, IBM의 X-Force 사고 대응 및 인텔리전스 서비스(IRIS)는 중동의 에너지 및 산업 분야를 겨냥한 제로클리어 와이퍼 멀웨어를 발견했다고 발표했습니다. IBM IRIS에 따르면 제로클리어의 배포에 APT34(오일리그)가 관여했을 가능성이 높다고 합니다. IBM IRIS 연구원들은 제로클리어 악성코드를 발견하는 과정에서 제로클리어 악성코드가 Windows 시스템의 디스크 파티션뿐만 아니라 MBR(마스터 부트 레코드)을 덮어쓴다는 점에서 샤문 악성코드와 특징을 공유한다는 사실을 발견했습니다.
• 최근 'Dustman'이라는 이름의 샘플을 분석한 결과, 제로클리어와 유사하고 동일한 원시 디스크 드라이버를 사용하는 안티 사우디 메시징을 포함하고 있었지만, 샘플에는 필요한 모든 툴링이 단일 실행 파일에 번들로 포함되어 있었습니다. 이 샘플에는 반사우디 메시지가 포함되어 있었고, 반사우디 뮤텍스("Down With Bin Salman")를 드롭했습니다.

민족주의 및 친정권 핵티비즘

우리는 이란 정권이 솔레이마니 장군 살해에 대한 대응을 고민하는 데 시간이 걸릴 것으로 평가합니다. 이와는 대조적으로 친정권(정부 지시는 아님) 사이버 공격자들은 계속해서 파괴적인 활동을 할 가능성이 높습니다. 레코디드 퓨처는 솔레이마니의 사망 소식이 전해진 후 몇 시간 내에 미국 정부 기관을 대상으로 한 해킹티비스트의 명예훼손 활동을 인지하고 있습니다. 또한 IRGC 지지자들 사이에서 허위 정보가 유통되는 것도 관찰했습니다. 핵티비스트 세력 간의 대화를 관찰한 결과, 느슨하게 보호되는 웹사이트, 서버, 데이터베이스와 같이 더 취약한 표적에 대한 공격이 확대될 가능성이 높다고 평가합니다.

공격자들이 범죄 활동을 가장하여 삼삼 랜섬웨어 또는 이와 유사한 캠페인을 배포할 가능성도 배제할 수 없습니다. 이 두 행위자가 이란 정부와 연계되어 있다는 증거는 없지만, 테헤란은 의심할 여지 없이 이러한 작전과 그 도구를 알고 있습니다.

전망

이란이 카셈 솔레이마니 장군 살해에 대한 대응으로 물리적 공격보다는 사이버 공격에 더 적극적으로 의존할 수 있으며, 이는 스파이 활동이나 사보타주의 형태로 이루어질 가능성이 높다고 평가합니다.

이러한 사이버 대응은 여러 잠재적인 비대칭 대응책 중 하나로, 이란 정보기관이나 군사 단체가 직접 수행하거나 그들의 계약업체 또는 기타 대리인을 통해 수행할 수 있습니다. 이러한 조치는 첩보 활동을 통해 얻은 이전 접근 권한과 정보를 바탕으로 이루어질 가능성이 높습니다. 이러한 침입의 원인을 파악하고 다른 기회주의적 침입과 구별하는 것은 어려울 수 있습니다.

또한, 최근 문서화된 러시아 국가 지원 단체가 사이버 작전을 위해 이란의 인프라를 납치하고 활용하는 사례는 이란의 스파이 활동이나 파괴적인 활동을 추적하고 귀속시키는 데 있어 불확실성을 더하고 있습니다. 이러한 인프라 하이재킹과 불확실성 증가로 인해 사고가 잘못 귀속되어 확대 해석될 가능성이 높아졌다고 평가합니다. 중동에는 미국과 그 파트너, 이란과 그 대리인 외에도 이해관계가 얽힌 국가가 많으며, 이란을 가장한 러시아의 작전으로 불확실성이 더욱 커지면 사이버 침입으로 인한 혼란이나 혼란의 분위기가 조성될 수 있습니다. 이는 러시아가 이란의 사이버 작전 인프라를 어느 정도 손상시켰는지 알 수 없기 때문에 잘못 귀속되거나 잘못 확대될 가능성을 높입니다.

제안된 완화 조치

• APT33은 계속해서 동적 DNS(DDNS) 호스팅을 선호하며, Recorded Future의 무기화된 도메인 보안 제어 피드는 이러한 도메인을 식별하고 차단하는 데 사용할 수 있습니다.
• Recorded Future는 명령 및 제어 보안 제어 피드(Command and Control Security Control Feed)에서 악의적인 서버 구성을 사전에 탐지하고 기록합니다.
• 레코딩된 미래는 조직이 동일한 IP에서 다른 계정에 대한 순차적인 로그인 시도를 모니터링할 것을 권장합니다. 이러한 유형의 활동은 기존의 무차별 대입보다 탐지하기가 더 어렵지만 APT33이 선호하는 전술로부터 조직을 보호하는 데 도움이 됩니다.
• 멀티팩터 인증의 도입은 역사적으로 높은 수준의 크리덴셜 스터핑 및 비밀번호 스프레이 공격을 경험한 많은 조직에서 매우 효과적인 방어 방법임이 입증되었습니다.
• 범죄 지하 커뮤니티에서 조직을 표적으로 삼는 새로운 설정 파일이 있는지 모니터링하고, 해당 파일을 확보하여 추가 공격 지표가 있는지 철저히 분석하세요.
• 최종 사용자는 비밀번호 관리자를 사용하고 각 온라인 계정에 고유한 강력한 비밀번호를 설정하여 비밀번호 스프레이로 인한 피해를 줄일 수 있습니다.
• 회사 직원을 대상으로 한 사회 공학 교육은 비밀번호 스프레이 및 공격에 사용된 정보가 공개되어 조직에 가해지는 위협을 완화하는 데 도움이 될 수 있습니다.
• 로그 분석(IDS를 통한)은 여러 사용자 계정에서 실패한 로그인 시도를 식별하는 데 도움이 될 수 있습니다. 로그 데이터를 상호 참조하면 빈도가 높은 잠금, 승인되지 않은 원격 액세스 시도, 여러 사용자 계정에서 시간적 공격이 겹치는 경우, 지문 고유 웹 브라우저 에이전트 정보와 관련된 사고를 탐지하는 데 도움이 될 수 있습니다.