해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 해킹
2020/9/3(목)
조회: 149
이란의 파이오니어 키튼, 기업 침투 경로를 다크웹서 판매  
이란 정부와 관련이 높은 것으로 보이는 APT 단체 파이오니어 키튼(Pioneer Kitten)이 해커 포럼에서 기업 네트워크 출입을 가능하게 해주는 크리덴셜을 판매하고 있는 것이 적발됐다. 자신들이 침투하는 데 성공한 조직들을 다른 해커들도 공격할 수 있도록 중간 매개체가 되고 있는 꼴이다.

[이미지 = utoimage]


파이오니어 키튼은 원래부터 기업 네트워크 침투에 특화되어 있는 해킹 단체다. 특히 오픈소스 도구들을 사용해 공공 인터넷에 노출된 원격 서비스들을 침해하는 데 능숙하다. VPN 솔루션들을 해킹하거나 전 세계 여러 기업들의 네트워크에 백도어를 심어놓는 활동을 하곤 했다. 보안 전문 업체 크라우드스트라이크(CrowdStrike)에 의하면 파이오니어 키튼과 연관성이 깊어 보이는 해커 한 명이 지난 7월 이러한 침해 통로 자체를 판매하기 시작했다고 한다.

크라우드스트라이크는 이 발견에 대해 “파이오니어 키튼이 새로운 수익 창구를 모색 중에 있는 것으로 보인다”고 분석했다. 그리고 “그것이 이란 정부를 지원한다는 커다란 목적과 분리되어 있지는 않을 것 같다”고 덧붙였다. 2017년부터 활동한 것으로 보이는 파이오니어 키튼은 이란 정부와 관련이 있는 것으로 의심되고 있긴 하지만 직접 명령을 하달 받는 등의 관계에 있지는 않은 것 같다는 게 보안 업계의 중론이다.

파이오니어 키튼의 주요 공격 방식은 SSH 터널링(SSH tunneling)이다. 특히 오픈소스 도구인 엔지록(Ngrok)과 자신들만의 공격 도구인 SSH미니언(SSHMinion)이 주 무기다. 이 도구들을 통해 피해 시스템에 공격자들이 직접적인 영향을 미친다. 여러 취약점들 중 특히 CVE-2019-11510, CVE-2019-19781, CVE-2020-5902를 즐겨 익스플로잇 한다. 전부 VPN 및 네트워킹과 관련된 취약점들이다.

솔루션 별로 봤을 때 가장 빈번하게 공격을 받는 건 펄스시큐어(Pulse Secure)의 커넥트(Connect), 시트릭스(Citrix) 서버와 게이트웨이들, F5 네트웍스(F5 Networks)의 빅아이피(BIG-IP)라고 한다. 피해자들은 주로 북미와 이스라엘 지역에서 나오고 있고, 대부분 이란 정부가 관심을 가질 만한 곳들이라고 한다. 그러나 정부 기관 외에 기술, 의료, 항공, 미디어, 학술, 엔지니어링, 컨설팅, 화학, 생산, 금융, 보험, 도소매 등 다양한 산업군을 노린다.

이란의 공격자들은 중국이나 러시아의 해커들처럼 악명이 세계적으로 드높지는 않지만, 최근 몇 년 동안 공격의 수위와 활동력을 높이고 있는 중이다. 이란 해커들 중 가장 유명한 건 차밍 키튼(Charming Kitten)으로 APT35나 에이젝스(Ajax), 포스포러스(Phosphorus)라고도 불린다. 나머지 이란 해킹 그룹들도 비슷한 이름으로 불리는데, 그건 차밍 키튼의 하위 그룹이나 스핀오프 등으로 보이기 때문이다. 이 차밍 키튼은 최근 링크드인에서 새로운 캠페인을 시작한 바 있다.

차밍 키튼은 2014년부터 활동해 온 것으로 보이며, 주로 정치적 목적을 가진 소셜 엔지니어링 공격을 실시한다. 즉 표적 공격에 일가견이 있으며, 그 실력이 해마다 발전하고 있다. 그 동안 인권 단체나 유명인들을 표적으로 삼았는데, 2020년 트럼프 대선 캠페인과 관련된 이메일 계정들을 노렸다는 소식도 있다.

3줄 요약
1. 중국과 러시아의 아성에는 미치지 못하지만 바짝 추격 중인 이란 해커들.
2. 최근 파이오니어 키튼이라는 해커, 다크웹에서 장사하는 것 발견됨.
3. 이란 정부와 상관이 있는 공격일 가능성 높다고 보는 게 자연스러움.

  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5893 보안    코로나 백신정보 탈취 `해킹` 경계령 2020/09/04
5892 해킹    모디 총리 트위터 계정 해킹…트위터, 사실 확인 후 조사 2020/09/04
5891 해킹    이란의 파이오니어 키튼, 기업 침투 경로를 다크웹서 판매 2020/09/03
5890 해킹    “멘붕 상태…” 김정은, 개인 통장에 있는 돈 잃어버렸다 2020/09/02
5889 해킹    러시아 해커 포럼에 미국 유권자 개인정보 무료로 공개돼 2020/09/02
5888 해킹    노르웨이 의회, 해킹 공격 당해 2020/09/02
5887 사건사고    유명인 트위터 해킹 또다른 용의자도 10대…FBI, 집 압수수색 2020/09/02
5886 기타    "文 해킹 당한거 아니냐"···페북글 5시간만에 댓글 1만개 2020/09/02
5885 보안    [보안 상식 A to Z ①] ‘해킹’ 2020/09/02
5884 보안    해킹에 안전한 제품을 만들려면 2020/09/02

 
목록