최근 피싱 캠페인은 정교한 전술을 사용하고 새로 발견된 정보 탈취 기법인 라다만티스(Rhadamanthys) 스틸러를 활용해 수많은 독일 조직을 표적으로 삼았다. TA547로 알려진 이 공격의 배후에 있는 해킹그룹은 2017년 11월부터 금전적 동기를 가지고 사이버 공격을 감행해 오고 있는 조직이다.

TA547 수법은 일반적으로 이메일 피싱 미끼를 사용해 ZLoader, Gootkit, DanaBot, Ursnif 및 Adhubllka 랜섬웨어를 비롯한 다양한 유형의 멀웨어를 배포하는 것이다. 최근에는 랜섬웨어 공격의 초기 액세스 브로커 역할을 하고 지오펜싱 기술을 사용하여 페이로드 배포를 특정 지역으로 제한하는 등 활동 영역을 확장하고 있다.

이번 최신 캠페인에서 TA547은 암호로 보호된 ZIP 파일이 포함된 이메일 메시지로 독일 기업 메트로AG를 사칭했다. ZIP 파일을 열면 원격 파워쉘 스크립트가 실행되어 시스템 메모리에 직접 라다만티스 스틸러를 배포하기 시작한다.

주목할 만한 점은 파워쉘 스크립트 내에 문법적으로 정확하고 매우 구체적인 주석이 있다는 점인데, 이는 이 스크립트가 대규모 언어 모델(LLM)을 사용하여 생성되거나 재작되었을 가능성이 있는 것으로 전문가들은 보고 있다.

공격자들은 압축된 LNK와 이전에는 볼 수 없었던 라다만티스와 같은 멀웨어를 채택하는 등 계속적으로 공격 전술을 진화시켜 나가고 있다. 또한 악성 캠페인에서 LLM으로 생성된 것으로 보이는 콘텐츠의 사용이 증가하고 있다는 것을 알 수 있다.

이러한 특정 공격 외에도 피싱 캠페인은 인증정보 탈취를 용이하게 하기 위해 색다른 전술을 사용하는 것이 관찰되었다.

공격그룹은 수신자를 음성 메시지 링크로 안내하거나 검색 엔진에 악성 광고를 게재하여 사용자가 PuTTY, FileZilla, Room Planner와 같은 인기 소프트웨어의 가짜 설치 프로그램을 다운로드하도록 유도하는 등 다양한 방식을 사용하기 때문에 각별히 주의해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★