이란 연계 위협 actors가 Microsoft 365 환경에서 비밀번호 스프레이 공격을 수행하여 이스라엘 300개 조직 이상과 UAE 25개 조직 이상의 계정 정보를 탈취한 것으로 파악됨

Context

이스라엘과 UAE를 중심으로 Middle Eastern Municipalities가 주요 타겟으로 표기되었으며, 이란 IRGC 산하 위협 그룹들이 M365 환경 침투를 위해 비밀번호 스프레이 기법을 활용하고 있다. 3월 3일, 13일, 23일 총 3차에 걸쳐 공격이 수행되었으며 폭격 피해 평가(BDA) 지원 목적으로 추정된다.

Technical Solution

• 공격자 → Tor exit node의 User-Agent를 IE10으로 위장하여 비밀번호 스프레이 수행
• 공격자 → Windscribe IP(185.191.204.X) 및 NordVPN IP(169.150.227.X) 범위에서 접속하여 Israel 지역 기반 우회
• 공격자 → AS35758(Rachamim Aviel Twito)에 호스팅된 commercial VPN 노드 활용
• 타겟 → 이스라엘 Technology sector 63회, Transportation 32회, Healthcare 28회, Manufacturing 28회 공격 시도
• 타겟 → 미국, 유럽, Saudi Arabia 일부 조직에서도 유사 활동 탐지