올해 러시아 최대 도매상점 중 하나를 포함한 4개 기업을 대상으로 침입을 시도하며 사이버 스파이 활동을 수행한 해커 조직이 7개월 만에 다시 등장했다. 보안업체 Group-IB 보안연구원에 따르면, 모든 공격에 이 위협 행위자는 광범위한 레드팀 구성 기술과 자체 악성코드를 사용하여 기존의 바이러스 백신 탐지를 우회한 것으로 알려졌다.
적어도 2018년 11월부터 활동중인 러시아권 RedCurl 해킹 조직은 건설, 금융, 컨설팅, 소매, 보험, 법률 등 14개 기관을 대상으로 한 기업 사이버 스파이 및 문서 도용 등을 목표로 현재까지 약 30건의 공격에 연계되어 있다고 전해진다. 이들은 해킹 도구를 사용하여 목표물에 침투하고 직원 기록, 법원 및 법률 파일, 기업 이메일 기록과 같은 내부 기업 문서를 탈취하는데, 초기 감염부터 실제 데이터가 탈취되기까지 약 6개월 동안 활동을 수행하는 것으로 알려졌다.
이들은 공격을 성공적으로 침투한 이후에도 피해자 기반 시설을 암호화 하거나 도난 당한 데이터에 대한 몸값을 요구하는 등의 재정적 동기로 인한 공격 작업을 수행하는 것이 관찰되지 않고 있다. 오히려 사회공학적 수단을 이용하여 초기 접근에 성공하면 정찰을 수행하고 지속성을 유지하여 수평이동을 실시하면 자체 개발 및 공개된 프로그램을 조합하여 가능한 은밀하게 기밀 정보를 탈취한다.
보안연구원들은 사이버 공간에서의 스파이 활동은 국가가 지원하는 APT 공격의 특징이라고 분석하고 있다. 대부분의 경우 이러한 공격은 다른 국가나 국영 기업을 대상으로 하는데, 기업의 스파이 활동은 여전히 상대적으로 드물고 여러면에서 독특한 사건이라고 보고 있다. 그러나 RedCurl 그룹의 공격 성공이 사이버 범죄 조직의 새로운 흐름으로 이어질 가능성도 있다고 보고 있다.
[출처 : TheHackerNews / 11.20.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.