'오일리그', '헬릭스 키튼'으로도 불리는 이란 해킹조직 'APT34'가 미국 업체 '위스탯'을 해킹한다.
APT34는 2014년부터 각국 정부기관과 금융사, 에너지 시설, 통신사, 석유화학사 등을 해킹해 온 조직이다. 이란 정부가 배후로 추정된다.
외신에 따르면 APT34는 최근 직원 만족도 설문조사를 가장한 피싱 문서를 '위스탯' 직원에게 유포했다. '위스탯'은 미국 정부기관, 기업, 재단, 지자체와 협업하는 업체다.
이번에 발견된 명령 제어(C2) 서버는 불과 지난달에 개설된 것으로 조사됐다. C2 서버는 현재도 작동하고 있어 공격 역시 진행 중인 것으로 보인다.
피싱 문서에 의해 매크로가 실행되면 악성 VBA 코드가 작동, '톤대프(Tonedeaf)' 멀웨어 최신 버전이 설치된다. '톤대프' 백도어는 APT34 C2 서버와 통신한다.
이란은 지난 3일(현지시간) 거셈 솔레마이니 이란혁명수비대 정예군(쿠드스군) 사령관이 미국 정부 드론 공습에 의해 피살당한 후 미국 정부기관 웹사이트 등을 대상으로 사이버 공격을 확대한 것으로 분석됐다.
오다인기자 ohdain@etnews.com