[보안뉴스 / 6.6.] 피싱 메시지로 UAE 국민들의 데이터 빼앗아 가는 포스탈퓨리어스 캠페인

UAE에 거주하는 사람들을 무작위로 노리는 대규모 SMS 캠페인이 발견됐다. 공격자들은 이전에도 아시아의 다른 지역을 공격한 적이 있었다. UAE에서의 공격이 끝나면 다른 지역으로 넘어갈 가능성이 높아 보인다.

[보안뉴스 문가용 기자] UAE의 국민들을 노리는 피싱 문자 메시지 캠페인이 적발됐다. 캠페인의 목적은 지불 정보와 개인 정보를 훔쳐내는 것이라고 한다. 캠페인의 이름은 포스탈퓨리어스(PostalFurious)라고 하며, 이전에는 아태지역 사용자들을 겨냥하여 진행된 바 있다.

[이미지 = gettyimagesbank]

이 캠페인을 제일 먼저 발견한 보안 업체 그룹IB(Group-IB)는 “포스탈퓨리어스의 배후에는 중국어를 기반으로 한 피싱 전문 단체가 있다”고 보고 있다. 현재 그룹IB는 그 공격 단체도 포스탈퓨리어스라고 부르고 모니터링 하는 중이다.

“포스탈퓨리어스는 최소 2021년부터 활동을 해 온 것으로 보이며, 대규모 네트워크 인프라를 순식간에 구성할 수 있는 능력을 갖추고 있습니다. 공격 인프라를 자주 바꿔서 탐지에도 잘 걸리지 않고, 각종 접근 제어 기술을 활용해 자동 탐지 및 차단 기술을 회피하기도 합니다. 이들은 지역과 국가를 가리지 않고 활동하는 듯합니다.”

전 세계를 고루 공격하는 그들이 이번에는 UAE와 중동 사용자들을 집중적으로 겨냥하는 것으로 보인다. 피해자들에게 문자 메시지를 보내 “톨게이트 통과 비용 / 배송된 물건 비용을 내라”고 요구하는 것으로 공격을 개시하는 이들은 악성 URL을 메시지 안에 포함시킨다. URL을 클릭하면 유명 지불 대행 서비스 페이지와 거의 똑같이 생긴 페이지로 연결된다. 빈 칸에 이름, 주소, 신용카드 정보 등을 삽입해야 하는데, 그렇게 할 경우 정보가 공격자들에게로 넘어간다.

문자에 포함되어 있는 URL은 URL 단축 서비스를 통해 짧아진 상태로, 유명 브랜드를 사칭하고 있어 속기 쉽다. 이 URL은 올해 4월 15일부터 살아 있었다. UAE의 한 시외 교환 서비스 운영 회사를 사칭하는 것으로 나타났다. 그리고 조사가 진행되고 있던 4월 29일, 공격자들은 새로운 URL을 만들어 공격에 활용하기도 했다. 이 때에는 UAE의 우체국을 사칭했다.

두 가지 URL 모두 말레이시아와 태국에서 등록된 전화번호로부터 발송된 메시지에 섞여서 피해자들에게 전송됐다. 그 외에 이메일과 아이메시지를 통해 전송되는 경우들도 있었다.

그룹IB의 디지털 범죄 부문 전문가인 안나 유르테바(Anna Yurtaeva)는 “포스탈퓨리어스는 현재 일반 대중 모두를 노리는 것으로 보인다”고 말한다. “지금 진행되고 있는 건 UAE에 거주하는 사람들을 무작위로 노리는 대규모 공격입니다. 심지어 앞서 언급된 UAE 우체국이나 교환 서비스 운영 회사를 사용하지 않는 사람들에게까지 메시지가 전달되고 있습니다. 정교한 공격과는 거리가 멀다는 뜻입니다. 공격자들의 목적은 UAE 무작위 개인들의 신용카드 정보와 개인정보입니다.”

그룹IB는 포스탈퓨리어스 캠페인에서 아직까지 멀웨어가 다운로드 되는 사례는 발견하지 못했다고 한다. 다만 UAE 국민들을 겨냥한 이번 캠페인이 단순히 UAE 내에서 끝나지는 않을 것으로 보인다고 유르테바는 강조한다. “이미 포스탈퓨리어스는 싱가포르와 호주에서 족적을 남긴 바 있습니다. 그 때도 가짜 사이트와 브랜드 사칭을 주로 했었고, 지불 정보과 개인정보를 노렸습니다.”

한편 지난 주에는 같은 중동 지역 국가인 이스라엘에서도 비슷한 공격 캠페인이 발견됐었다. 이 캠페인은 레드디어작전(Operation Red Deer)이라고 하며, 공격자들은 이스라엘의 엔지니어링과 원거리 통신사, 이스라엘 우체국을 사칭해 피싱 메시지들을 피해자들에게 보냈었다.

글 : 댄 레이우드(Dan Raywood), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>