사이버 보안 · 2 min read · Dec 02, 2025

머디 워터, 해커 그룹이 침해된 기업 이메일을 사용하여 피싱 메시지를 전송하다

피싱 이메일

Deep Instincts의 연구자들은 이란 정보부 및 보안부와 연관된 해커 그룹인 머디 워터가 침해된 기업 이메일을 사용하여 목표에게 피싱 메시지를 전송했다는 사실을 발견했습니다.

Deep Instincts에 따르면, 머디 워터 그룹은 9월에 시작되었을 가능성이 있는 이 새로운 전술을 캠페인에 적용했지만 10월에만 주목받았으며, 정품 원격 관리 소프트웨어를 사용했습니다.

Deep Instincts의 연구자들은 머디 워터가 2020년부터 2021년까지의 이전 캠페인에서도 원격 관리 도구를 사용했으며, 이 캠페인은 Remote Utilities와 ScreenConnect에 의존했다고 언급했습니다.

다른 캠페인에서는 동일한 전술을 사용했지만 Atera Agent로 전환했습니다! (모니터링하고자 하는 컴퓨터와 서버를 모니터링하는 시스템입니다) 이는 Deep Instincts의 연구원인 사이먼 케닌에 의해 발견되었습니다.

이와 더불어, 보안 회사의 연구자들은 머디 워터가 10월에 새로운 캠페인을 발견했으며, 이 캠페인에서는 그룹이 Syncro를 사용했습니다 (관리 서비스 제공업체를 위한 소프트웨어입니다).

사이먼 케닌은 보고서에서 초기 피싱 이메일이 해커들에 의해 침해된 정당한 기업 이메일 계정에서 실제로 전송되었다고 언급했습니다.

머디 워터 캠페인 개요

연구자는 해커 그룹이 보낸 피싱 이메일에는 회사 서명이 없었다고 덧붙였습니다. 그러나 목표는 여전히 이메일이 그들이 아는 회사의 진짜 주소에서 왔기 때문에 정당한 이메일로 신뢰했습니다.

해커 그룹의 다른 목표 중에는 두 개의 이집트 호스팅 회사가 있었습니다. 그 중 하나는 침해되어 피싱 이메일을 전송하는 데 사용되었고, 다른 하나는 악성 이메일을 받았습니다. 이는 수신자가 회사를 알고 있기 때문에 신뢰를 얻는 알려진 방법 중 하나입니다.

보안 소프트웨어/도구에 의해 탐지될 위험을 최소화하기 위해 해커 그룹은 Syncro MSI 설치 프로그램을 다운로드할 수 있는 링크가 포함된 HTML 파일을 첨부했습니다.

더욱이, 첨부 파일은 아카이브나 실행 파일이 아니어서 사용자가 의심하지 않게 만들며, HTML은 피싱 교육 및 시뮬레이션에서 대부분 간과된다고 Deep Instincts는 덧붙였습니다.

읽기: 위협 행위자가 통신 서비스 제공업체를 겨냥하고 탐지 시 방어 방법을 변경하다

서비스는 Microsoft OneDrive 파일 저장소에 호스팅되었으며, 이전 이메일은 이집트 호스팅 회사의 침해된 이메일 계정에서 전송되었고 Syncro 설치 프로그램은 Dropbox에 저장되었습니다.

케닌에 따르면, 해커 그룹이 사용한 대부분의 Syncro 설치 프로그램은 이전 해킹 캠페인에서 사용된 OneHub의 Drive 클라우드 저장소에 호스팅되었습니다.

여기서 주목할 점은 Syncro 설치 프로그램이 LunaMoth와 같은 위협 공격자들에 의해 사용되었다는 것입니다. 또한 Syncro 설치 프로그램은 전체 웹 인터페이스가 포함된 21일 무료 체험판을 제공하며, Syncro 에이전트가 설치된 컴퓨터에 대한 완전한 제어를 제공합니다.

한 번 Syncro 에이전트가 목표/희생자의 컴퓨터에 설치되면, 위협 공격자는 이를 사용하여 백도어를 배치하고 지속성을 시작하며 데이터를 훔칠 수 있습니다.

이번 캠페인에서 머디 워터 그룹의 다른 목표에는 이스라엘의 여러 보험 회사가 포함되며, 위협 행위자는 동일한 전술, 즉 이스라엘 환대 산업의 회사 이메일 계정을 해킹한 후 해킹된 이메일 계정에서 피싱 이메일을 전송했습니다.

보험처럼 보이게 하기 위해 해커 그룹은 OneDrive에 호스팅된 Syncro 설치 프로그램에 대한 HTML 첨부 링크를 추가했습니다.

피싱 이메일은 히브리어(이스라엘의 국가 언어)로 작성되었습니다. 즉, 머디 워터의 방법은 현대적이지 않습니다. 그러나 자유롭게 사용 가능한 소프트웨어/도구는 해킹 관행에 효과적인 방법이 될 수 있습니다.

이스라엘 보험 회사에 대한 머디 워터 피싱 이메일

위협 행위자는 Static Kiten, Cobalt Ulster, Mercury와 같은 다양한 이름을 사용합니다. 2017년부터 활동해왔습니다.

읽기: 인터넷을 잃었을 때 할 일: 기본 인터넷 연결 문제 해결

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.