시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Earth Lusca: 오픈소스 정찰 도구와 커스텀 배포 스크립트를 활용한 사이버 첩보 작전 분석
</aside>
목차
Silent Librarian은 주로 학술 기관을 대상으로 정교한 피싱 공격을 수행하여 지적 재산 및 연구 자료를 탈취하는 이란 기반의 위협 그룹이다. 이 그룹은 다수의 별칭으로 알려져 있으며, 장기간 활동하며 지속적으로 공격 기법을 발전시켜왔다.
Silent Librarian의 활동은 단순한 금전적 이득을 넘어 국가적 차원의 정보 수집 및 기술 탈취 목적과 연관되어 있을 가능성이 높다. 특히 서방 국가의 이란 제재로 인해 학술 자료 및 기술 접근이 제한되자, 이를 우회하기 위한 수단으로 사이버 스파이 활동을 수행하는 것으로 분석된다. 이들은 특정 학문 분야에 국한되지 않고 기회주의적으로 접근 가능한 정보를 탈취하는 경향을 보인다.
| 항목 | 내용 |
|---|---|
| 그룹명 | Silent Librarian, TA407, COBALT DICKENS Mabna Institute, Yellow Nabu, ITG22, G0122 |
| 활동 시기 | 2013년 ~ 2022년 ( 이후 피해 사례 확인되지 않음 ) |
| 주요 대상 | 전 세계 대학 및 교육 기관이 주요 표적이며, 특히 도서관 서비스 및 학술 데이터베이스 접근 권한을 노림. 초기에는 일부 정부 및 민간 부문도 대상에 포함. |
| 추정 배후/지역 | 이란 정부, 특히 이슬람 혁명 수비대(IRGC)의 지원을 받는 Mabna Institute와 연계된 것으로 강력히 추정. |
| 공격 특징 | 표적 맞춤형 스피어 피싱 이메일 사용, 대학 도서관 로그인 페이지 등 합법적인 웹사이트를 정교하게 복제한 피싱 페이지 사용, 탈취한 계정을 사용하여 다른 대학 구성원에게 피싱 메일을 발송하는 등 연쇄적인 공격 전개, Freenom과 같은 무료 도메인 서비스 및 URL 단축 서비스를 악용하여 악성 링크 은폐, 주로 계정 정보 탈취 및 지적 재산 절도에 초점, 상대적으로 짧은 공격 기간으로 탐지 및 대응 시간 제한. |
| TTP 단계 (ATT&CK ID) | 도구 이름 | 주요 기능 | 활용 방식 |
|---|---|---|---|
| Resource Development (TA0042) | Freenom | 무료 최상위 도메인(.tk,.ml,.ga,.cf,.gq) 제공 | 표적 기관을 사칭하는 피싱 웹사이트 호스팅용 도메인 확보 |
| HTTrack | 웹사이트 전체 또는 일부 복제 (오프라인 브라우저) | 표적 대학의 합법적인 로그인 페이지(예: 도서관 포털)를 복제하여 피싱 페이지 제작 | |
| SingleFile | 웹 페이지를 단일 HTML 파일로 저장 (브라우저 확장 프로그램) | 표적 대학의 로그인 페이지를 복제하여 피싱 페이지 제작 | |
| Let's Encrypt | 무료 SSL/TLS 인증서 발급 | 피싱 웹사이트에 HTTPS를 적용하여 신뢰도를 높이고 탐지를 회피 | |
| 다양한 URL 단축 서비스 (합법적 서비스 포함) | 긴 URL을 짧게 만들고, 실제 목적지 주소 은닉 | 피싱 이메일 내 악성 링크를 단축하여 사용자의 의심을 줄이고 보안 솔루션의 탐지를 우회 | |
| Initial Access (TA0001) | 복제된 웹사이트 (HTTrack, SingleFile 사용) | 사용자 계정 정보(크리덴셜) 입력 유도 | 스피어 피싱 이메일을 통해 사용자를 조작된 로그인 페이지로 유도하여 계정 정보 탈취 |
| Credential Access (TA0006) | - (커스텀 스크립트 또는 일반 도구 추정) | 미리 수집된 계정 목록에 대해 자주 사용되는 비밀번호 또는 간단한 비밀번호들을 대입하여 계정 접근 시도 | 수집된 이메일 주소 및 직원 목록을 활용하여 민간 부문 표적에 대한 패스워드 스프레이 공격 수행 |
| Collection (TA0009) | - (이메일 서비스 자체 기능) | 특정 조건에 맞는 이메일을 지정된 다른 이메일 주소로 자동 전달 | 탈취한 계정에 로그인하여 외부 이메일 주소(공격자 통제)로 메일을 자동 전달하는 규칙 설정 |
| Exfiltration (TA0010) | - (이메일, 웹 프로토콜 등) | 탈취한 데이터를 공격자가 통제하는 시스템으로 전송 | 탈취한 전체 사서함 또는 특정 데이터를 외부로 유출 |