최근 마이크로소프트가 모로코 기반의 사이버 범죄 그룹 Storm-0539에 대해 발표하면서, 이 그룹은 정교한 이메일 및 SMS 피싱 공격을 통해 기프트 카드를 탈취하고 재판매하고 있다고 주의를 당부했다.

‘아틀라스 라이온(Atlas Lion)’으로도 알려진 이 그룹은 2021년 말부터 활동을 시작했으며, 최근에는 기프트 카드를 훔쳐서 재판매하는 데 주력하고 있다.

Storm-0539는 중간자 공격(AitM) 피싱 페이지를 포함한 고급 피싱 기술을 사용한다. 합법적인 웹사이트를 모방한 피싱 페이지를 생성해 사용자로부터 민감한 정보를 유출하도록 유도했다고 한다. 그룹의 주요 목표는 기프트 카드 시스템에 접근해 가치 있는 카드를 훔치고 이를 온라인에서 할인된 가격에 판매하고 있다.

마이크로소프트 최신 사이버 시그널 보고서에 따르면, 이 그룹의 활동으로 인해 일부 회사에서는 하루에 최대 10만달러의 기프트 카드 도난 사고가 발생했다고 전했다. 이들의 공격은 기프트 카드 판매가 급증하는 연말 시즌을 앞두고 특히 많이 발생했다고 한다.

■클라우드 인프라 악용

좀더 살펴보면, 이 그룹의 눈에 띄는 전략 중 하나는 클라우드 인프라를 악용하는 것이다. 이들은 새로운 피싱 웹사이트를 만들기위해 클라우드 서비스 플랫폼에서 무료 체험 또는 학생 계정을 생성했다. 합법적인 비영리 단체나 비즈니스 사이트로 위장해 보안 시스템이 악의적인 활동을 탐지하기 어렵게 만들었다.

이들은 또 합법적인 내부 회사 메일링 리스트를 사용해 피싱 이메일을 배포하기도 했다. 이는 공격의 성공 가능성을 높이는 데 기여했다. 또한 이들은 조직의 기프트 카드 발행 프로세스에 대한 광범위한 정찰을 수행할 수 있도록 접근 권한을 악용했다고 한다.

이달 초, 미국 연방수사국(FBI)은 소매업체의 기프트 카드 부서를 대상으로 한 Storm-0539의 스미싱 공격에 대해 경고하는 공지를 발표했다. 이 그룹은 다중 인증(MFA)을 우회하기 위해 정교한 피싱 키트를 사용했다고 한다.

특히 한 기업에서는 Storm-0539의 사기성 기프트 카드 활동을 감지하고 추가적인 사기를 방지하기 위해 변경사항을 적용했다고 한다. 그러나 이 그룹은 전술을 변경해 사용되지 않은 기프트 카드를 찾아 해당 이메일 주소를 자신들이 통제하는 주소로 변경했다고 한다.

Storm-0539의 작전은 자격 증명 탈취를 비롯해 SSH 비밀번호와 키를 획득해 이를 판매하거나 추가 공격에 사용했다고 한다. 클라우드 환경에 대한 깊은 지식을 활용해 조직의 기프트 카드 발행 프로세스에 대한 상세한 분석을 통해 이를 효과적으로 악용한 것이다.

마이크로소프트는 지난 3월에서 5월 사이에 Storm-0539의 침해 활동이 30% 증가했다고 경고했다.

이 그룹의 활동은 아마존, 구글, IBM과 같은 대형 클라우드 서비스를 악용하는 SMS 기반 사기까지 확장되었다. 이러한 사기는 사용자를 악성 웹사이트로 리디렉션하는 합법적인 클라우드 플랫폼 URL을 통해 수행되었다고 한다. 이러한 URL은 방화벽에서 차단하는 것을 우회할 수 있어 사용자들이 민감한 정보를 입력하도록 유도한 것이다.

보안연구원들은 Storm-0539가 신뢰할 수 있는 도메인인 "google.com/amp"를 사용해 인코딩된 문자를 결합하여 사기 링크를 위장하는 방법을 사용한다고 밝혔다. 이는 사용자들이 잘 알려진 도메인에 대한 신뢰를 악용해 피싱 공격을 수행하는 방법이라고 한다.

이러한 위협에 대응하기 위해 마이크로소프트는 기프트 카드를 발행하는 회사들이 의심스러운 로그인에 대한 모니터링과 IP 주소 및 기기 상태와 같은 신원 기반 정보 등을 사용해 다중 인증 체계를 구축하는 것이 중요하다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★