이란 배후 해킹 세력, 전 세계 1만2000개 IP 정찰 후 침투

Incident Overview

오아시스시큐리티가 이란과 연계된 해킹 세력이 전 세계 1만2000개 이상의 IP를 정찰한 후 중동 및 글로벌 핵심 인프라에 침투한 사실을 공격자의 실제 운영 명령제어(C2) 서버와 공격 인프라 데이터 분석을 통해 밝혀냈습니다.

Attack Techniques

공격자는 파이썬과 Go 언어로 개발된 다수의 C2 컨트롤러를 운용하며, AES 기반 암호화 통신과 TCP/UDP 다중 통신 구조를 활용했습니다.
최소 5종의 고위험 취약점을 무기화했으며, 대상에는 Citrix NetScaler VPN(CVE-2025-5777), Laravel Livewire, SmarterMail, n8n, N-central, Langflow 등이 포함됩니다.

Impact

이집트 항공사 관련 시스템에서 여권, 비자, 급여, 신용카드 정보 등 약 200여 건의 민감 데이터가 유출되었으며, 이집트 군수생산부, UAE 국영 석유·가스 기업, 포르투갈·인도 관련 기관 등이 공격 대상에 포함되었습니다.

Recommendations

• C2 인프라 관련 IoC 기반 즉시 차단 및 탐지 룰 적용
• Citrix NetScaler, Laravel Livewire 등 취약 제품 긴급 패치
• 공격자 인프라와 운영 패턴을 기반으로 한 선제적 대응 체계 구축

Reference

👉 ZDNet Korea 보도 원문