Ransomware 위장 전략을 통한 국가 주도 Espionage 은닉 및 Attribution 우회

Iran cybersnoops still LARPing as ransomware crooks in espionage ops

2026년 5월 6일3분intermediate

AI 요약

Context

국가 지원 해킹 그룹이 단순 데이터 탈취를 넘어 공격 주체를 은폐해야 하는 제약 상황 발생. 기존의 정형화된 공격 패턴은 보안 솔루션에 의한 빠른 탐지와 정밀한 Attribution으로 이어지는 한계 존재.

Technical Solution

MS Teams Phishing 및 Social Engineering을 통한 MFA 설정 변경 및 Credential 탈취
AnyDesk 및 RDP를 활용한 초기 진입 후 curl 기반의 Payload 배포를 통한 제어권 확보
Darkcomp Backdoor와 WebView2 Loader를 조합하여 C2 통신 트래픽을 정상 서비스로 위장
Lateral Movement를 통한 내부 망 확산 및 민감 데이터 추출 후 Chaos Ransomware DLS에 게시
파일 암호화 과정 생략 및 가짜 협상 파일 배포를 통해 Ransomware 공격으로 오인하게 만드는 False-flag 설계
방어자의 리소스를 Ransomware 탐지에 집중시켜 실제 Espionage 목적의 Backdoor 유지 기간을 극대화하는 전략 채택

실천 포인트

- MFA 설정 변경 이력 및 신규 기기 등록에 대한 실시간 모니터링 체계 구축 - AnyDesk, Quick Assist 등 원격 관리 도구의 비인가 사용 제한 및 화이트리스트 기반 통제 - WebView2 등 정상 프로세스를 이용한 비정상 네트워크 트래픽 탐지를 위한 EDR 룰 고도화 - Ransomware 징후 발견 시 데이터 암호화 여부와 관계없이 백도어 존재 가능성을 염두에 둔 전수 조사 수행

태그

#False-flag #Attribution #Cyberespionage #Backdoor #Social Engineering

원문 읽기