MuddyWater 해커들, 공격에서 Chaos 랜섬웨어를 미끼로 사용
Source: Bleeping Computer
Overview
MuddyWater 이란 해커들은 자신의 활동을 Chaos 랜섬웨어 공격으로 위장했으며, Microsoft Teams 사회공학을 이용해 접근 권한을 얻고 지속성을 확보했습니다.
공격에는 자격 증명 절도, 지속성 확보, 원격 접근, 데이터 유출, 갈취 이메일, 그리고 Chaos 유출 포털에 대한 항목이 포함되었지만, 공격자는 MuddyWater 공격과 연관된 인프라와 기법을 사용했습니다.
Rapid7 연구원들은 랜섬웨어 구성 요소가 실제 사이버 스파이 활동을 은폐하고 귀속을 복잡하게 만들기 위해 사용된 것으로 판단합니다.
“이 전략은 국가 지원 침입 활동과 범죄 무역 기술 사이의 수렴을 강조합니다. 큰 ‘단서’는 배포된 기술과 배포되지 않은 기술에 있습니다. 이 전략은 주요 목표가 금전적 이익이 아니라는 것을 시사합니다.”라고 Rapid7이 설명합니다.
Source
겉모습과는 달리 Rapid7은 이 사건을 MuddyWater(Static Kitten, Mango Sandstorm, Seedworm으로도 알려진 위협 그룹)와 연결짓는 데 중간 정도의 확신을 가지고 있습니다. 결론은 다음에 근거합니다:
- 인프라 중복
- Stagecomp 및 Darkcomp 악성코드를 서명한 특정 코드 서명 인증서
- 다양한 운영 무역 기술
MuddyWater는 이란 국가 지원 사이버 스파이 그룹으로, 국가 정보보안부(MOIS)와 연계된 장기적인 네트워크 침투 캠페인으로 악명 높습니다.
Chaos는 2025년에 출현한 랜섬웨어‑as‑a‑service(RaaS) 운영으로, 대규모 표적 공격, 이중 갈취 전술, 사회공학 캠페인으로 알려져 있으며 주로 미국 조직을 노립니다.
Attack progression
Rapid7이 조사한 침입은 Microsoft Teams 사회공학을 통해 시작되었습니다:
- 공격자는 직원들과 채팅을 시작하고 화면 공유 세션을 설정했습니다.
- 자격 증명을 수집하고 다중 인증(MFA) 설정을 조작했으며, 때때로 AnyDesk를 배포해 원격 접근을 확보했습니다.
자격 증명 절도는 Microsoft Quick Assist를 가장한 피싱 페이지를 통해 또는 피해자를 속여 로컬 텍스트 파일에 비밀번호를 입력하게 함으로써 이루어졌습니다.
계정을 장악한 후 공격자는 도메인 컨트롤러를 포함한 내부 시스템에 인증하고 다음을 이용해 지속성을 확보했습니다:
- RDP
- DWAgent
- AnyDesk
그 다음, 악성 로더(ms_upd.exe)를 활용해 맞춤형 백도어(Game.exe)를 배포했으며, 이는 Microsoft WebView2 애플리케이션으로 위장되었습니다. 해당 악성코드는 안티‑분석 및 안티‑VM 검사를 포함하고 12개의 명령을 지원합니다(예: PowerShell 및 CMD 실행, 파일 업로드·삭제, 지속적인 쉘 접근).
Rapid7은 MuddyWater가 과거에 사이버 스파이 작업을 가리기 위해 랜섬웨어를 사용한 바 있다고 언급합니다. 2025년 말, 위협 행위자는 이스라엘 조직을 대상으로 Qilin 랜섬웨어를 배포했습니다. 연구원들은 해당 2025년 말 사건이 MOIS 요원에게 귀속된 이후 그룹이 다른 랜섬웨어 브랜드로 전환했을 가능성을 제시합니다.