후티 지지 위협 집단으로 의심되는 단체가 예멘의 인도주의 단체 최소 3곳을 공격해 민감한 정보를 수집하도록 설계된 안드로이드 스파이웨어를 설치했습니다.
이러한 공격은 코드명이 ‘활동 클러스터’인 것으로 밝혀졌습니다. 오일알파Recorded Future의 Insikt Group은 자체 지원 인프라가 포함된 새로운 악성 모바일 앱이 등장했다고 밝혔습니다.
현재 진행 중인 캠페인의 대상에는 CARE International, 노르웨이 난민 위원회(NRC), 사우디 아라비아 킹 살만 인도주의 지원 및 구호 센터가 포함됩니다.
사이버 보안 회사는 “OilAlpha 위협 그룹은 예멘에서 활동하는 인도주의 및 인권 단체를 표적으로 삼아 표적 활동을 수행하고 있을 가능성이 매우 높습니다. 잠재적으로 중동 전역으로 확대될 수도 있습니다.”라고 밝혔습니다.
OilAlpha는 2023년 5월 아라비아 반도의 개발, 인도주의, 미디어, 비정부 기구를 표적으로 삼은 간첩 캠페인과 관련하여 처음 기록되었습니다.
이러한 공격은 WhatsApp을 이용해 유니세프와 같은 합법적인 기관과 관련된 것처럼 가장하여 악성 Android APK 파일을 배포했고, 궁극적으로 SpyNote(일명 SpyMax)라는 맬웨어 종류가 배포되었습니다.
2024년 6월 초에 확인된 최신 악성 앱은 인도주의 구호 프로그램과 관련이 있다고 주장하고 CARE International과 NRC와 같은 기관인 것처럼 가장한 앱으로 구성되어 있습니다. 두 기관 모두 예멘에서 적극적으로 활동하고 있습니다.
이러한 앱은 일단 설치되면 SpyMax 트로이 목마를 숨겨서 침입적인 권한을 요청하므로 피해자의 데이터를 훔치는 데 도움이 됩니다.
OilAlpha의 운영에는 또한 이러한 조직을 사칭하는 가짜 로그인 페이지를 사용하여 사용자의 로그인 정보를 수집하는 자격 증명 수집 구성 요소가 포함됩니다. 영향을 받는 조직과 관련된 계정에 액세스하여 간첩 활동을 수행하는 것이 목표인 것으로 의심됩니다.
Recorded Future는 “후티 반군은 지속적으로 국제 인도적 지원의 이동과 배송을 제한하려 했으며, 지원 물품에 세금을 부과하고 재판매하여 이익을 얻어왔다”고 전했습니다.
“관찰된 사이버 타겟팅에 대한 한 가지 가능한 설명은 누가 지원을 받고 어떻게 제공되는지 통제하려는 노력을 용이하게 하기 위한 정보 수집이라는 것입니다.”
Lookout에서 후티와 연관된 위협 행위자가 예멘과 중동의 다른 국가를 표적으로 삼아 GuardZoo라는 안드로이드 데이터 수집 도구를 전달하는 또 다른 감시웨어 작전에 연루되었다는 사실을 밝힌 지 몇 주 후에 이러한 사건이 발생했습니다.
