2019년 말, 유럽 에너지 부문 조직이 퓨피랫 멀웨어의 표적이 되었습니다.

2019년 말, 유럽 에너지 부문 조직이 퓨피랫 멀웨어의 표적이 되었습니다.

이 보고서는 인식트 그룹 연구진이 개발한 시그니처를 사용하여 탐지한 RAT 컨트롤러에 대한 독점적인 Recorded Future 네트워크 트래픽 분석을 기반으로 합니다. 분석 기간은 2019년 11월 28일부터 2020년 1월 5일까지입니다.

이 보고서는 주로 이란의 국가적 위협 행위자들이 사용하는 멀웨어와 관련된 위협 추적 임무를 수행하는 에너지 부문 조직의 SOC 분석가 및 위협 인텔리전스 전문가들이 관심을 가질 것입니다.

지난 1년 동안 Recorded Future의 연구 결과에 따르면, 이란과 연관된 그룹(APT33(엘핀으로도 알려져 있음)을 포함할 수 있음)은 2019년 내내 운영 네트워크 인프라를 대량으로 구축하는 데 활발히 활동해 왔습니다. 또한, 2019년 11월 마이크로소프트는 APT33이 IT 네트워크를 표적으로 삼는 것에서 전기 유틸리티, 제조업, 석유 정제 시설 등에서 사용되는 물리적 제어 시스템으로 공격 대상을 전환했다고 공개했습니다. 우리는 또한 국가 후원 이란 관련 단체들이 활동적인 네트워크 침투를 위해 무료로 사용할 수 있는 일반적인 악성 소프트웨어를 광범위하게 활용하고 있음을 기록했습니다. 이 도구들은 일반적으로 방어적 레드팀 훈련에 사용되도록 설계되었습니다. 이란과 연관된 여러 단체들이 사용하는 도구 중 하나가 PupyRAT입니다.

인식트 그룹은 레코디드 퓨처 원격 액세스 트로이목마(RAT) 컨트롤러 탐지 및 네트워크 트래픽 분석 기술을 사용하여 2019년 11월 말부터 최소 2020년 1월 5일까지 유럽 에너지 부문 조직의 메일 서버와 통신하는 PupyRAT 명령 및 제어(C2) 서버를 확인했습니다. 메타데이터만으로는 침입을 확인할 수 없지만, 표적이 된 메일 서버에서 PupyRAT C2로의 대량의 반복적인 통신은 침입 가능성을 나타내는 데 충분하다고 평가합니다.

PupyRAT는 GitHub에서 공개된 오픈소스 RAT입니다. 개발자에 따르면, 이는 "다양한 플랫폼에서 작동하는 다기능 RAT 및 포스트 익스플로잇 도구로 주로 Python으로 작성되었습니다." 이 기술은 이전에 이란의 APT33 (Elfin, Magic Hound, HOLMIUM) 그룹과 COBALT GYPSY (APT34/OilRig와 중복되는 그룹)에 의해 사용되었습니다.

이란의 위협 행위자 그룹인 APT33과 COBALT GYPSY가 이 상품 RAT인 PupyRAT을 사용한 것으로 알려져 있지만, 저희가 확인한 PupyRAT 컨트롤러가 이란의 어느 그룹이 사용하는지는 확인할 수 없습니다. 공격자가 누구든, 고부가가치 중요 인프라 조직의 메일 서버를 표적으로 삼으면 공격자는 유럽의 에너지 할당 및 자원에 관한 민감한 정보에 액세스할 수 있습니다.

유럽 에너지 분야의 핵심 조직을 표적으로 삼은 것은 해당 조직이 유럽 에너지 자원 조정에서扮演하는 역할 때문에 특히 주목할 만합니다. 이란 단체들(및 기타 단체들)은 미국과 유럽의 다양한 산업 분야를 표적으로 삼아 왔으며, 최근 보고서에 따르면 에너지 산업의 산업 제어 소프트웨어를 표적으로 삼는 사례가 증가하고 있습니다.

이 활동은 최근 미국과 이란 간의 군사적 활동이 고조되기 이전부터 진행되었으며, 따라서 스파이 활동에 의한 침입 활동 또는 유럽 에너지 부문의 고가치 네트워크 내 네트워크 접근 권한 선점과 관련이 있을 가능성이 높다는 점을 강조합니다.

레코디드 퓨처는 PupyRAT와 같은 상용 RAT를 방어하기 위해 조직에 다음과 같은 조치를 취할 것을 권장합니다: