예멘에서 활동하는 인도주의 구호 단체를 노리는 오일알파 악성 애플리케이션

요약

인식트 그룹의 연구에 따르면 친후티 단체로 추정되는 오일알파가 예멘에서 활동하는 인도주의 및 인권 단체를 지속적으로 표적으로 삼고 있는 것으로 나타났습니다. 이들은 악성 Android 애플리케이션을 사용하여 자격 증명을 훔치고 정보를 수집하여 잠재적으로 구호물품 배포를 통제할 수 있습니다. 영향을 받은 대표적인 단체로는 CARE International과 노르웨이 난민 위원회가 있습니다. 이 보고서는 지속적인 위협을 강조하고 소셜 엔지니어링 인식, 강력한 비밀번호, 다중 인증과 같은 완화 전략을 제안합니다.

예멘에서 활동하는 인도주의 구호 단체를 노리는 오일알파 악성 애플리케이션

2023년 5월, 인식트 그룹은 악성 안드로이드 애플리케이션을 사용해 예멘의 인도주의 단체를 공격하는 친후티 단체인 오일알파(OilAlpha)에 대한 연구 결과를 처음 공유했습니다. 1년이 지난 지금, 새로운 연구 결과에 따르면 오일알파는 여전히 활동 중이며 이 지역의 인도주의적 노력에 심각한 위협을 가하고 있습니다.

최근 연구 결과, 오일알파와 연결된 새로운 악성 모바일 애플리케이션 및 인프라 클러스터가 발견되었습니다. 이 지원서는 CARE International, 노르웨이 난민위원회, 사우디아라비아 킹 살만 인도주의 원조 및 구호 센터 등 세계적으로 인정받는 인도주의 단체의 직원을 대상으로 합니다.

2024년 6월, 저희는 오일알파의 인프라와 연결된 "Cash Incentives.apk"라는 이름의 의심스러운 안드로이드 파일을 발견했습니다. 이 앱은 카메라, 오디오, SMS, 연락처 등에 대한 액세스를 포함하여 침입 권한을 요청하여 원격 액세스 트로이 목마(RAT)로 분류됩니다. 이후 분석 결과 노르웨이 난민 위원회와 CARE International을 표적으로 삼은 두 개의 악성 애플리케이션이 추가로 발견되었으며, 모두 자격 증명을 도용하고 민감한 정보를 수집하려고 시도했습니다.

오일알파가 운영하는 인증정보 도용 포털에는 kssnew[.]online 도메인에서 호스팅되는 인증정보 도용 포털이 있습니다. 이 포털은 인도주의 단체의 로그인 페이지를 사칭하여 사용자가 자격 증명을 입력하도록 리디렉션한 다음 공격자가 수집한 정보를 수집합니다.

이러한 위협에 대응하기 위해 조직은 정보 보안 정책을 구현하고 소셜 엔지니어링 및 피싱 방지 인식 훈련을 실시해야 합니다. 강력한 비밀번호와 다단계 인증(MFA)을 사용하면 자격증명 도용의 위험을 크게 줄일 수 있습니다.

또한, 사용자는 소셜 미디어의 다이렉트 메시지와 암호화된 채팅에 주의하고 가능한 경우 메시지의 진위를 확인해야 합니다. 레코디드 퓨처의 타사 인텔리전스 모듈은 오일알파의 활동을 실시간으로 식별하고 모니터링하는 데 도움이 됩니다. Recorded Future® 위협 인텔리전스 브라우저 확장 프로그램을 설치하여 위협 인텔리전스에 즉시 액세스하고, SIEM에서 더 빠르게 알림을 처리하고, 취약점의 우선 순위를 지정하세요.

의심스러운 파일의 경우 Recorded Future의 멀웨어 인텔리전스 샌드박스에서 자세한 분석을 제공합니다. 제어된 환경에서 파일의 동작을 관찰하여 네트워크 연결 및 시스템 변경 사항을 파악합니다.

오일알파의 활동은 예멘의 인도적 지원 분배를 통제하기 위한 지속적인 노력을 시사합니다. 인도주의 단체를 표적으로 삼는 이 그룹의 공격은 계속될 것이며, 예멘을 넘어 다른 지역으로 확대될 가능성도 있습니다. 레코디드 퓨처는 중동과 그 밖의 지역에서 인도주의 활동을 안전하게 보호하기 위해 이러한 위협을 모니터링하고 보고하는 데 최선을 다하고 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.