영업팀에 문의
  /  조언하는  / 주의: 중동 분쟁 및 사이버 위협 고조
주의보: 중동 분쟁 및 사이버 위협 고조

주의보: 중동 분쟁 및 사이버 위협 고조

Written by Seqrite
Seqrite
조언하는

주의보: 중동 분쟁 및 사이버 위협 고조

회사 개요

2026년 2월 28일, 미국과 이스라엘은 이란에 대한 합동 군사 공격(에픽 퓨리/로어링 라이온 작전)을 개시했다. 이란 최고 지도자 하메네이는 3월 1일에 사망했고, 이에 이란은 걸프 지역 전역에 드론과 미사일 공격으로 보복했으며, 사이버 공격 또한 거의 즉각적으로 발생했다.

이란의 국내 인터넷 접속률은 첫 공격 발생 후 몇 시간 만에 1~4%까지 떨어졌습니다. 하지만 공격 속도는 늦춰지지 않았습니다. 이란 외부에서 활동하는 수십 개의 위협 그룹과 표적 네트워크 내부에 미리 심어놓은 백도어 덕분에 공격은 계속해서 최대 속도로 진행되었습니다.

이번 공격의 핵심적인 변화는 이란이 단순히 맞춤형 악성코드에만 의존하지 않았다는 점입니다. 스트라이커 공격은 이란이 이제 악성코드 없이 합법적인 IT 도구까지 악용하고 있음을 보여주었습니다. 한편, 중국과 연계된 머스탱 팬더는 언론의 관심을 틈타 조용히 정보를 수집했고, 정체를 알 수 없는 범죄 조직(팀PCP)은 이란의 인프라를 겨냥한 쿠버네티스 와이퍼를 배포했습니다. 상황은 복잡하고, 여러 세력이 연루되어 있으며, 아직 진행 중입니다.

이란의 계층형 사이버 작전 모델

이란의 사이버 생태계는 국가가 지휘하는 APT 그룹(이란 혁명수비대 및 정보부 연계), 준공식 용역업체 및 위장 단체, 정보기관이 운영하는 해커 집단 및 단체, 그리고 이념적으로 연계된 해외 해커 집단 등 여러 계층으로 구성되어 있습니다. 2026년 3월 11일 발생한 스트라이커 코퍼레이션 공격은 미국 기업 인프라를 공격하는 중요한 사건이었습니다. 이는 악성 소프트웨어 없이 합법적인 MDM(모바일 장치 관리) 인프라를 악용하여 실행된 파괴적인 데이터 삭제 공격으로, 이란의 작전 능력과 서방 기업 인프라를 공격하려는 의지에 있어 질적인 변화를 보여줍니다.

활성 위협

이란 국가 APT 그룹

씨앗벌레 / 머디워터(MOIS)

최소 2월 초 공습이 시작되기 전부터 미국과 이스라엘 네트워크에서 활동한 것으로 확인되었습니다. 공격 대상은 은행, 공항, NGO, 그리고 미국 기업의 이스라엘 지사였습니다. 새로운 백도어 두 개가 발견되었습니다.

  • Dindoor: Deno(자바스크립트 런타임)를 통해 실행됩니다. 'Amy Cherne' 인증서로 서명되었습니다. 은행, 소프트웨어 회사 및 캐나다 NGO에서 발견되었습니다.
  • Fakeset: Python 기반. Backblaze 클라우드 스토리지에서 가져옴. 'Amy Cherne' 및 'Donald Gay' 인증서로 서명됨. Donald Gay 인증서는 이전에 Stagecomp 및 Darkcomp에 서명한 적이 있으며, 이 두 도구는 Seedworm 도구로 확인되었습니다.

Rclone은 해킹당한 소프트웨어 회사의 데이터를 Wasabi S3 버킷으로 유출하려는 시도에 사용되었습니다. MuddyWater는 또한 중복되는 인프라를 활용하여 중동, 터키 및 아프리카 전역에서 병행 캠페인(Operation Olalampo)을 진행했습니다.

TA453 / APT42 / 매력적인 새끼 고양이 (IRGC)

3월 8일, 이란의 인터넷 차단에도 불구하고 TA453은 미국의 한 싱크탱크에 계정 정보 탈취 피싱 이메일을 보냈습니다. 공격자는 정책 연구원을 사칭하여 평범한 이메일을 주고받으며 신뢰를 쌓은 후, Netlify에 호스팅된 OneDrive 테마의 피싱 페이지를 유포했습니다. 해킹된 사이트에 숨겨진 추적 픽셀을 이용해 공격자가 해당 페이지를 클릭하는지 확인했습니다. 이란의 전면적인 인터넷 차단에도 불구하고 해외 인프라를 활용하여 공격을 지속했습니다.

TA402 / 석유 시추 시설 / APT34 (MOIS)

이라크 외무부 이메일 계정을 해킹하여 중동 정부를 표적으로 삼았습니다. 유인 메일에는 '이란에서의 미국 지상 작전 가능성'과 '걸프 군사 동맹'이 언급되었습니다. 악성 프로그램은 대상의 IP 위치 정보를 기반으로 위장 PDF 파일이나 자격 증명 탈취 페이지를 전송했습니다. 동일한 이라크 외무부 해킹 인프라는 Dust Specter 클러스터에서도 사용되었습니다.

마쉬트레더 / 아그리우스 / 핑크 샌드스톰 (MOIS)

이스라엘, UAE, 카타르, 바레인, 쿠웨이트, 레바논, 키프로스 전역에서 공격 후 카메라 스캔이 확대되었습니다. Hikvision 카메라 및 비디오 인터콤 장치의 CVE-2017-7921 및 CVE-2023-6895 취약점을 악용합니다. 이 공격 패턴은 분쟁 지역 인근의 외부 카메라를 무력화하여 공격 피해에 대한 실시간 시각적 정보를 수집하는 데 사용됩니다. 해당 지역에 인터넷에 연결된 카메라를 보유한 모든 조직은 이를 활성 위협으로 간주해야 합니다.

한다라의 스트라이커 코퍼레이션 공격

이 분쟁에서 서방 기업을 대상으로 한 이란 소행 공격 중 가장 큰 피해를 입힌 사건입니다. 3월 11일, 한다라(보이드 맨티코어, 스톰-0842로도 추적됨)는 250억 달러 규모의 의료기기 회사이자 4억 5천만 달러 규모의 미국 공급 계약을 맺은 스트라이커 코퍼레이션을 완전히 파괴했습니다.

작동 방식

공격자는 해킹당한 Microsoft 365 글로벌 관리자 계정(범죄 조직에서 판매되는 오래된 정보 탈취 로그에서 얻은 것으로 추정)을 입수했습니다. 연구원들은 공격자가 이 계정을 이용해 Microsoft Intune에 로그인하고, 정식 '장치 초기화' 기능을 사용하여 79개국에 걸쳐 200,000만 대 이상의 노트북, 서버, 모바일 장치의 데이터를 원격으로 삭제한 것으로 보고 있습니다. 로그인 화면은 Handala 로고로 바뀌어 있었습니다.

  • 스트라이커의 아일랜드 코크 사무소(직원 4,000~5,500명)는 제조 시스템 가동 중단으로 가장 큰 타격을 입었습니다.
  • 주문 처리, 제조 및 글로벌 배송 모두 차질을 빚고 있습니다(SEC 공시 자료에서 확인됨).
  • SYK 주가는 공시 이후 하락했다.
  • 사전에 50TB의 데이터가 유출된 것으로 추정됨 (전체 내용 미확인)
  • CISA는 기술 지원을 제공했고, 아일랜드 NCSC가 이에 대응했습니다.

3월 20일경, 미 법무부는 한다라를 이란 정보부(MOIS) 소속으로 공식 지목하며, 해킹 및 정보 유출, 심리전 작전에 사용되는 '가짜 활동가'라고 규정했습니다. 카쉬 파텔 FBI 국장은 정보 유출 사이트를 포함한 한다라 웹사이트 4곳을 압수했다고 발표했습니다. 체크포인트 리서치는 한다라의 지도부가 이란 정보부 대테러 부서와 연관되어 있다고 분석했는데, 이 부서의 책임자가 2026년 3월 공습으로 사망한 것으로 알려져 있습니다.

3월 13일, 한다라는 쿠드스 데이와 연계하여 40TB 규모의 데이터 삭제 작전을 벌이겠다고 위협했습니다. 현재까지 확인된 피해자는 없습니다. 이들은 별도로 베리폰(Verifone)의 데이터 유출을 주장했으나, 베리폰은 공격 사실을 부인했습니다.

먼지 유령 (이란-넥서스, 이라크 정부 표적 공격)

2026년 1월부터 이라크 정부 관계자들을 표적으로 삼는, 이전에 알려지지 않았던 이란 연계 APT 그룹이 확인되었습니다. 이 그룹은 합법적인 이라크 정부 웹사이트를 해킹하여 악성코드를 호스팅하고, 가짜 Cisco Webex for Government 회의를 ClickFix 소셜 엔지니어링 미끼로 사용했습니다. 새로운 .NET 악성코드 도구 4개가 발견되었습니다.

  • SPLITDROP: 암호로 보호된 RAR 파일에서 다음 단계를 추출하여 VLC 또는 WingetUI와 같은 정식 바이너리를 통해 사이드로드하는 드로퍼입니다.
  • TWINTASK: in.txt/out.txt 파일을 주기적으로 확인하여 PowerShell 스크립트를 실행하는 워커입니다. HKCU Run 키를 통해 설정이 저장됩니다.
  • TWINTALK: HTTPS, 무작위 URI, 지오펜싱(피해자의 위치 확인), Chrome을 모방한 사용자 에이전트 스푸핑을 사용하는 C2 모듈입니다.
  • GHOSTFORM: TWINTASK와 TWINTALK를 단일 바이너리에 결합하고 메모리 내 PowerShell을 사용하는 후기 단계의 RAT(원격 접속 트로이목마)입니다. 뮤텍스를 사용하여 한 번만 실행되며, 어셈블리 생성 타임스탬프에서 봇 ID를 생성합니다.

TWINTALK와 GHOSTFORM에서 발견된 이모티콘, 특이한 유니코드, 자리 표시자 16진수 상수(0xABCDEF)와 같은 비정상적인 코드 흔적은 개발 과정의 일부에 생성형 AI가 사용되었음을 시사합니다. 이는 이란의 APT 도구에서 대규모로 확인된 최초의 AI 지원 악성코드 코딩 사례입니다.

중국 APT – 머스탱 팬더 (로터스라이트)

3월 4일, 연구진은 머스탱 판다(지구 프레타, TA416, 브론즈 프레지던트 등으로도 알려짐)가 2월 28일 공습 이후 며칠 만에 중동 분쟁을 암시하는 미끼로 변하는 것을 포착했습니다. 이는 머스탱 판다가 뉴스에 나오는 내용에 맞춰 미끼를 바꾸는 전형적인 행동 양식입니다.

악성 ZIP 파일에는 'Iran Strikes US Military Facilities Across Gulf Region.exe'로 이름이 변경된 정식 KuGou 음악 실행 파일과 악성 DLL(libmemobook.dll)이 포함되어 있었습니다. 실행 파일이 실행되면 해당 DLL이 사이드로드되어 다음과 같은 작업을 수행합니다.

  • 해킹된 도메인(e-kflower[.]com)에서 WebFeatures.exe 및 kugou.dll 파일을 다운로드합니다.
  • 실행 키를 통해 지속성을 설정합니다(ACboardCm / ASEdge).
  • dll은 LOTUSLITE 백도어이며, WinHTTP를 통해 C2 172.81.60[.]97과 통신합니다.

LOTUSLITE는 2026년 1월에 이미 동일한 C2 IP를 사용하여 베네수엘라를 표적으로 하는 유인물을 사용한 사례가 기록되어 있습니다. 동일한 백도어와 전달 체계를 사용했지만, 뉴스 내용만 달랐습니다. KuGou 바이너리 악용(2022년부터 기록된 공격 기법), 공유된 C2, 그리고 러시아 출처를 부인하는 임베디드 코드 메시지(이전에 Mustang Panda의 ClaimLoader 캠페인에서 확인됨)를 기반으로 Mustang Panda의 소행일 가능성이 높다고 판단됩니다.

GCC 국가들을 겨냥한 별도의 LNK/CHM 캠페인에서는 '바레인 주둔 미군 기지에 대한 이란의 미사일 공격'에 관한 위장 PDF 파일과 함께 다음 단계 암호 해독에 RC4 키 '20260301@@@'를 사용하는 셸코드 로더를 배포했습니다.

해커 활동가 그룹 – 가시적 계층

해킹 활동은 시끄럽긴 하지만 기술적으로는 대부분 영향력이 미미합니다. DDoS 공격, 웹사이트 변조, 해킹 후 정보 유출 주장 등이 주를 이루지만, 많은 주장이 과장된 측면이 있습니다. 그러나 실제로 상당한 능력을 갖춘 몇몇 그룹은 주목할 만합니다.

그룹 확인/청구된 운영 링크
한다라 / 보이드 만티코어 스트라이커 와이퍼(확인됨). 이스라엘 의료 시스템. 1.3TB 석유/가스 매장량 주장. 이메일을 통한 살해 협박으로 해외 거주 이스라엘인 비판자들의 개인정보 유출. MONTH
FAD 팀 / 파티미윤 와이퍼 악성코드, SCADA/PLC 접근 권한 주장(이스라엘 및 동맹국). 터키 언론 공격. IRGC와 인접한
사이버 이슬람 저항군(313팀, 리퍼섹) 드론 방어 시스템 주장. 이스라엘 결제 인프라. 쿠웨이트 정부 DDoS 공격. 친이란
다이넷 바레인 공항, 샤르자 공항, 리야드 은행, 요르단 중앙은행 - 모두 DDoS 공격 대상입니다. 친이란
이름없음057(16) 이스라엘 지방자치단체, 통신사, 국방부를 대상으로 한 DDoS 공격. 이란 단체들과 공모. 친러시아
추기경 이스라엘 방위군(IDF) 네트워크 접근 권한 주장; 북부 방패 작전을 언급하는 문서 유출. 친러시아
러시아 군단 아이언 돔 레이더 접근 권한 주장(미확인). IDF 서버 접근 권한 주장. 친러시아
Z-침투 테스트 2월 28일부터 3월 2일까지 미국 산업통상시스템(ICS)/SCADA 및 CCTV 시스템이 해킹당했다고 주장했습니다. 친러시아

 

연구진은 2월 28일부터 해커 활동가들의 텔레그램 활동 타임라인을 자세히 추적했습니다. 공격 당일 개설된 전자작전실(Electronic Operations Room)은 53개 이상의 그룹이 공격 목표를 공유하고 공격 주체를 주장하는 데 중심적인 역할을 하는 통합 조정 채널이었습니다.

MOIS 텔레그램 C2 멀웨어

FBI는 MOIS 소속 사이버 공격자들이 2023년 가을부터 텔레그램 봇을 C2 인프라로 활용하여 전 세계의 이란 반체제 인사, 언론인 및 반대 단체를 표적으로 삼고 있다는 내용의 FLASH(IC3, 3월 20일) 공개 경고를 발표했습니다. 해당 악성 소프트웨어는 두 단계로 구성되어 있습니다.

  • 1단계는 Telegram_authenticator.exe, KeePass.exe, WhatsApp.exe, Pictory_premium_ver9.0.4.exe와 같은 일반 앱으로 위장합니다. 실행 시 2단계가 시작됩니다.
  • 2단계 영구 임플란트는 양방향 C2를 위해 api.telegram[.]org에 연결됩니다. 관련 모듈은 Zoom 세션 중에 화면과 오디오를 녹화합니다(MicDriver.zip).

FBI는 또한 한다라가 2025년 7월 반체제 인사들을 대상으로 벌인 해킹 및 정보 유출 작전에서 동일한 악성 소프트웨어를 사용하여 유출된 데이터를 수집했음을 확인했습니다. 이 보고서는 한다라의 반체제 인사 표적 활동이 MOIS 텔레그램 C2 인프라와 연관되어 있음을 공식적으로 밝힙니다.

카멜클론 작전

Seqrite Labs APT 팀은 알제리(주택부 위장), 몽골(MonAtom LLC/원자력 에너지 위장), 우크라이나(알제리-우크라이나 협력 위장), 쿠웨이트(쿠웨이트 공군 무기 수요 위장) 등 4개국에서 동일한 감염 기법을 사용한 다지역 스파이 활동을 확인했습니다.

모든 캠페인은 다음과 같은 동일한 과정을 거칩니다: ZIP → PowerShell을 사용한 LNK → filebulldogs[.]com에서 HOPPINGANT(f.js JavaScript 로더) 다운로드 → Rclone v1.70.3(l.exe로 이름 변경) 설치 → XOR 디코딩을 통해 MEGA 계정 자격 증명(키: 56) 추출 → onionmail.org를 통해 등록된 MEGA 계정으로 데스크톱 .doc/.docx/.pdf/.txt 파일 및 Telegram 데스크톱 세션 데이터(tdata 폴더) 유출. 확인된 MEGA 계정은 총 4개이며, 모두 2026년 2월~3월 사이에 생성되었습니다.

출처 불명. (정부, 국방, 외교, 에너지 분야를 주요 강대국 간 경쟁이 격화되는 지역에 집중적으로 공격한 패턴으로 미루어 보아) 국가 차원의 정보 수집 활동으로 추정된다.

TeamPCP – CanisterWorm / Kubernetes 와이퍼

금전적 이득을 목적으로 하는 클라우드 위협 행위자(TeamPCP, DeadCatx3, PCPcat, ShellForce로도 추적됨)가 기존 도구에 지정학적 표적을 겨냥한 데이터 삭제 도구를 추가했습니다. 8월 19일, 이들은 먼저 Aqua Security의 인기 취약점 스캐너인 Trivy를 대상으로 공급망 공격을 실행하여 GitHub 릴리스와 Docker 이미지에 백도어를 심어 CI/CD 파이프라인에서 Trivy를 실행하는 사용자의 SSH 키, 클라우드 자격 증명, Kubernetes 토큰 및 암호화폐 지갑을 탈취했습니다.

3월 22일, 그들은 동일한 ICP 캐니스터 C2(tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io)를 통해 새로운 페이로드를 배포했습니다. 이 페이로드는 시스템의 시간대와 로케일을 확인합니다. 만약 이란(Asia/Tehran, fa_IR)과 일치하면 다음과 같습니다.

  • Kubernetes 환경에서 'host-provisioner-iran'이라는 이름의 DaemonSet을 모든 노드에 배포합니다. 각 Pod는 최상위 호스트 디렉터리를 모두 삭제하고 노드를 강제로 재부팅하는 'kamikaze'라는 이름의 Alpine 컨테이너를 실행합니다.
  • 쿠버네티스를 사용하지 않는 이란 호스트에서 다음 명령을 실행합니다: rm -rf / –no-preserve-root
  • 이란 이외의 Kubernetes 호스트에서: CanisterWorm 백도어를 systemd 서비스(pgmonitor)로 설치하여 지속적인 자격 증명 탈취를 수행합니다.

실제로 이란의 시스템이 완전히 파괴되었는지 여부는 불분명합니다. 악성 프로그램은 짧은 시간 동안만 활성화되었고 빠르게 교체되었기 때문입니다. 연구원들은 이 그룹이 부분적으로는 관심을 끌려는 의도가 있는 것으로 보인다고 지적합니다. 하지만 공급망을 통한 공격 방식(Trivy는 수백만 개의 개발 환경에서 실행됨)과 지정학적 목표를 겨냥한 파괴적인 페이로드는 모두 실재하며 주목할 만한 사건입니다. TeamPCP는 또한 3월 22일 Aqua Security의 비공개 GitHub 조직을 해킹하여 44개의 내부 저장소 이름을 모두 'tpcp-docs-*'로 변경하고 설명을 'TeamPCP가 Aqua Security를 ​​소유하고 있다'로 변경했습니다.

이란 혁명수비대 감시망 확장

이란 와이어(Iran Wire)는 이란 혁명수비대(IRGC)가 이란 시민들에게 직접 경고를 발령했다고 보도했습니다. 이란 정보기관은 인스타그램과 텔레그램 활동을 적극적으로 감시하고 있으며, 공습 이후 국내 감시 활동을 대폭 확대하여 소셜 미디어 활동을 알려진 반체제 인사 프로필과 대조하고 있다는 것입니다. 이는 FBI의 FLASH 텔레그램 C2 캠페인과 직접적으로 연결되며, 해외 반체제 인사들을 공격하는 데 사용되었던 동일한 인프라가 국내로 확장되고 있다는 것을 의미합니다.

이란의 인터넷 차단 기간 동안 한다라 그룹이 스타링크를 사용한 것은 이란과 연계된 위협 행위자들이 이미 국내 인터넷 연결 차단을 염두에 두고 계획을 세웠음을 보여줍니다. 전면적인 인터넷 차단만으로는 더 이상 이러한 행위자들을 무력화할 수 없습니다.

섹터 노출

부문 위험 수준 관찰된/예상되는 표적
에너지 - 석유 및 가스 결정적인 한다라 사건으로 걸프 지역 통신사로부터 1.3TB의 데이터가 유출되었다는 주장이 제기되었습니다. SCADA/PLC 시스템 접근 권한 관련 소송도 진행 중입니다. 호르무즈 해협 인근에서 1,100척 이상의 선박이 항행에 차질을 빚었습니다. 이란 혁명수비대(IRGC) 드론이 바레인 AWS 기지를 공격했습니다. 과거 프레데토리 스패로우(Predatory Sparrow)는 이란 암호화폐 거래소에서 90천만 달러를 빼돌린 바 있습니다.
정부 및 국방 결정적인 모든 이란 APT 그룹. Dust Specter는 이라크 외교부를 표적으로 삼고 있습니다. 쿠웨이트/요르단/바레인 정부 사이트에 대한 DDoS 공격. UNG0801은 이스라엘 정부 IT를 표적으로 삼고 있습니다. CamelClone은 알제리, 몽골, 쿠웨이트, 우크라이나의 국방/외교 기관을 표적으로 삼고 있습니다.
금융 서비스 높은 이스라엘 은행 DDoS 공격. 리야드 은행. 요르단 은행. UAE 피싱 공격. 이스라엘의 Scorpius 표적 공격으로 이미지 훼손. 가짜 SSA 포털 및 Kvish 6 유료 결제 피싱(이란 연계).
의료 높은 스트라이커 사의 데이터 삭제 프로그램(전 세계 200만 대 이상의 기기 데이터 삭제 - 미 국방부 공급업체). 이스라엘 의료 네트워크(Clalit)의 한다라 침해 사건. CISA 수준의 사고 대응팀 투입.
방위산업 및 공급망 높은 스트라이커 코퍼레이션(미 국방부 계약 4억 5천만 달러). 미국 공급업체(Seedworm Dindoor). 공급망 타협은 여러 고가치 목표를 동시에 달성하기 위해 점점 더 많이 사용되고 있다.
항공 및 운송 높은 바레인 공항 DDoS 공격. 샤르자/UAE 공항 DDoS 공격. Seedworm의 공격 피해 공항 목록에 미국 공항 포함. 호르무즈 해협 선박 GPS 스푸핑으로 1,100척 이상의 선박 피해 발생.
통신 높은 역사적으로 이란 혁명수비대/이란 정보부의 우선 관리 분야. 반체제 인사들을 색출하기 위한 기반 시설 파괴 및 인터넷 서비스 제공업체(ISP) 표적 공격. 지속적인 첩보 활동.
중요 기반 시설(OT/ICS) 높은 사이버 이슬람 저항군(Cyber ​​Islamic Resistance)과 FAD 팀이 SCADA/PLC 시스템에 접근했다고 주장했습니다. 마쉬트레더(Marshtreader)는 카메라 스캔을 진행했습니다. Z-펜테스트(Z-Pentest)는 미국 산업 제어 시스템(ICS)/SCADA 및 CCTV 시스템 침해를 주장했습니다(2월 28일~3월 2일).
IT/MSP/소프트웨어 중-높음 UNG0801 / IconCat 작전은 특히 이스라엘의 IT, MSP, HR, 소프트웨어 업체를 표적으로 삼았습니다. Seedworm은 이스라엘 방위산업 소프트웨어 공급업체를 공격했습니다. 이는 공급망의 진입점으로 작용하여 하위 업체에 피해를 입힐 수 있습니다.
NGO 및 싱크탱크 중-높음 TA453/APT42는 미국 싱크탱크를 표적으로 삼는 자격 증명 피싱 공격입니다. 캐나다 NGO가 Seedworm 공격 피해자 목록에 올라 있습니다. UNG0801은 이스라엘 기업 환경을 표적으로 삼습니다.
미디어 및 인플루언서 운영 미디엄 FAD 팀은 터키 언론을 표적으로 삼았습니다. StealC를 유포하는 가짜 뉴스 블로그를 운영했습니다. 해커 활동가들은 텔레그램과 X를 통해 심리전을 펼쳤습니다.

 

볼만한 것들

  • 대규모 Microsoft 관리 장치를 보유한 기업을 대상으로 Intune/MDM 공격이 증가하고 있습니다. 전역 관리자 계정이 손상되어 대량 장치 초기화가 실행될 수 있는 조직은 Stryker 공격과 마찬가지로 취약한 상태에 놓이게 됩니다.
  • 한다라는 쿠드스 데이와 연계된 2차 확산을 예고했습니다. 공격 대상 발표는 한다라의 텔레그램 채널과 X 피드를 통해 확인하세요.
  • 미리 확보해둔 시드웜 접근 권한이 활성화될 가능성이 높습니다. 이 그룹은 전쟁 발발 이전부터 이미 미국과 이스라엘 네트워크 내부에 침투해 있었고, 그러한 발판은 다 이유가 있어서 존재하는 것입니다.
  • 공급망 공격이 더욱 빈번해졌습니다. TeamPCP의 Trivy 해킹 사건과 Mustang Panda의 테마 변경 공격은 공격자들이 개발자 툴체인과 뉴스 사이클을 동시에 공격 수단으로 활용하는 데 거리낌이 없음을 보여줍니다.
  • 와이퍼 관련 위험은 여전히 ​​높습니다. Druidfly, FAD Team, Handala는 모두 와이퍼 기능을 제공합니다. BibiWiper, Hatef, Stryker MDM-wipe 방식은 각각 다른 세 가지 구현 방식을 나타냅니다.
  • MOIS의 텔레그램 C2 확장. FBI FLASH 보고서는 2023년까지 거슬러 올라가는 공격을 다루고 있습니다. 동일한 악성 소프트웨어(Pictory, KeePass, WhatsApp 유사 프로그램)가 이란 외부의 디아스포라, 연구원 및 언론인을 대상으로 다시 공격될 것으로 예상됩니다.
  • 중국과 연계된 기회주의적인 수집 행위가 머스탱 팬더 사건에만 국한되지 않고 분쟁 테마를 이용해 확산되고 있습니다. 주요 지정학적 사건이 발생하면 48~72시간 내에 피싱 미끼로 악용됩니다.

팀이 해야 할 일

지금

  • Microsoft 365 글로벌 관리자 계정과 Intune 관리자 계정을 확인하세요. 모든 계정에 피싱 방지 MFA(FIDO2 또는 인증서 기반)가 설정되어 있습니까? 그렇지 않다면 먼저 이 부분을 수정하세요.
  • Intune 작업으로 인해 N대 이상의 장치가 초기화되거나 공장 초기화되는 경우 알림을 설정하십시오. 사람이 직접 수행하는 작업의 경우 이 임계값은 매우 작아야 합니다.
  • CI/CD 환경에서 Trivy를 사용하는 경우, 현재 고정된 버전을 확인하세요. 0.69.4~0.69.6 버전은 보안에 취약합니다. 태그가 아닌 커밋 SHA를 기준으로 검증된 안전한 버전으로 고정하세요.
  • 섹션 3.2에서 MOIS 텔레그램 C2 파일 해시를 가져와 EDR을 통해 실행하세요. 이 해시들은 2023년부터 활성화되어 있습니다.
  • Rclone, AnyDesk, ScreenConnect, PDQConnect 등이 본인이 설치하지 않은 위치에서 실행되고 있는지 확인하십시오. CamelClone, Seedworm, Handala는 모두 합법적인 도구를 악용합니다.

이번 주

  • 인증 검토를 실행하세요. 비정상적인 국가에서의 로그인, 근무 외 시간 접속, 그리고 지난 60일 동안 생성된 새로운 관리자 계정이 있는지 확인하세요.
  • 브라우저 트래픽이 아닌 서버 프로세스에서 MEGA, Backblaze, Wasabi 및 Telegram API(api.telegram[.]org)로의 예기치 않은 연결이 있는지 아웃바운드 트래픽을 확인하십시오.
  • 백업 복원 기능을 테스트하십시오. 특히, 기본 환경이 완전히 삭제된 경우, 격리된 백업을 사용하여 중요 서버를 복구할 수 있는지 확인하십시오. 이 답변을 확인하는 데 한 시간 이상 걸린다면, 바로 그 부분이 격리된 환경입니다.
  • Kubernetes 배포 환경이라면 kube-system에서 DaemonSet을 감사하십시오. 'host-provisioner-*' 또는 'provisioner' 컨테이너를 찾아보세요. 또한 hostPath: / 마운트가 포함된 Alpine 컨테이너가 있는지 확인하십시오.
  • 분쟁을 이용한 피싱 공격에 대해 팀원들에게 브리핑하십시오. 현재 활발히 사용되는 유인 테마는 다음과 같습니다: 이란 미사일 공격, JCPOA 업데이트, 걸프 군사 동맹, 민방위 경보, 쿠웨이트 공군 조달, 협력 제안.

진행중

  • 텔레그램과 X를 모니터링하여 조직이나 업계와 관련된 공격 대상 목록 및 침해 주장을 확인하십시오. 해커 집단은 공격 전에 다음 공격 대상을 게시합니다.
  • 이 분쟁과 관련하여 CISA의 이란 자문 피드와 영국 NCSC 알림을 구독하세요.
  • CI/CD 파이프라인 권한을 검토하세요. PAT(개인 액세스 토큰)가 있고 MFA가 없는 서비스 계정은 TeamPCP가 Aqua Security의 GitHub 조직을 소유하는 데 사용했던 바로 그 계정입니다.
  • 사이버 보험사에 전쟁 배상 제외 조항에 대해 문의하십시오. 스트라이커 공격은 국가 소행으로 확인되었습니다(미국 법무부). 보험 약관에 따라 국가가 지시한 파괴 행위는 보상되지 않을 수 있습니다.

참고자료

  1. https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
  2. https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
  3. https://www.ic3.gov/CSA/2026/260320.pdf
  4. https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us
  5. https://www.rapid7.com/blog/post/tr-iran-cyber-playbook-escalating-regional-conflict/
  6. https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks
  7. https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
  8. https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/
  9. https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/
  10. https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/
  11. https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
  12. https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/
  13. https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
  14. https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
  15. https://www.reuters.com/technology/iran-linked-hackers-restore-website-after-us-seizes-domains-2026-03-20/
  16. https://iranwire.com/en/news/150668-irgc-warns-citizens-your-instagram-and-telegram-activity-is-being-watched/
  17. https://socradar.io/blog/telegram-activity-timeline-iran-israel-us-war/
  18. https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity
  19. https://www.intel471.com/blog/israeli-us-strikes-against-iran-triggers-a-surge-in-hacktivist-activity
  20. https://techcrunch.com/2026/03/20/u-s-accuses-irans-government-of-operating-hacktivist-group-that-hacked-stryker/
  21. https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict
  22. https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
  23. https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
  24. https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east
  25. https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran

저자 :

샤야크 타라프다르
디팍 토마스 필립
사트윅 람 프라키
카르티쿠마르 지바니

 

Seqrite

회사 소개 Seqrite

Seqrite 당사는 기업용 사이버 보안 솔루션 분야의 선도적인 제공업체입니다. 사이버 보안을 간소화하는 데 중점을 두고 있습니다. Seqrite 포괄적인 솔루션과 서비스를 제공합니다...

에 의해 기사 Seqrite »