콘티 랜섬웨어, 콜백 피싱 '바자콜'로 공격 수법 계속 진화해
상태바
콘티 랜섬웨어, 콜백 피싱 '바자콜'로 공격 수법 계속 진화해
  • 곽중희 기자
  • 승인 2022.08.12 17:09
  • 댓글 0
이 기사를 공유합니다

콘티, 자체 조직 통해 새로운 랜섬웨어 계속 개발하고 있어

 

콘티 랜섬웨어 조직이 바자콜(BazarCall) 피싱 공격을 초기 공격 벡터로 사용해 표적 네트워크에 접근하고 있다.

콜백 피싱이라고 하는 바자콜 공격은 표적 피싱 공격 방법 중 하나로 2020~2021년 발견된 Ryuk 랜섬웨어 조직이 처음 사용했다. 바자콜 공격은 다음과 같은 단계로 진행된다.

1. 해커는 피해자에게 자동 지불 서비스에 가입했음을 알리는 피싱 메일을 보낸다. 이메일에는 구독 취소를 위해 전화할 전화번호가 포함돼 있다.

2. 피해자가 콜센터에 연락하면, 교환원은 전화를 받아 피해자에게 원격 데스크톱 제어 권한을 요구해 구독 서비스를 취소하는 척을 한다.

3. 이때 해커는 피해자의 PC에 접근한 후 사용자 네트워크의 거점을 확장해 콘티의 해킹 도구와의 접점을 찾아낸다. 

4. 사용자 PC에 멀웨어를 심어 네트워크에 진입하는 접근 권한을 얻어낸다.

사이버 보안 기업 AdvIntel의 연구팀에 따르면, 콘티 랜섬웨어 조직은 현재 최소 3개의 이상의 내부 조직을 통해 콜백 피싱 방법론에서 파생된 자체 표적 피싱 전술을 개발하고 있다. 세 그룹은 Silent Ransom, Quantum, Roy/Zeon으로 추적되며 이들은 2022년 5월 콘티가 운영을 중단하기로 결정한 후 등장했다.

2022년 3월 콘티의 한 결성 멤버는 독립된 해킹 조직 Silent Ransom을 만들었다. Silent Ransom의 주요 인사는 콘티의 하위 부서인 ‘콘티 팀 투’를 '퀀텀'으로 이름을 변경하고 자체 버전의 콜백 피싱 캠페인을 시작했다.

2022년 6월 13일 AdvIntel 연구팀은 Jörmungandr 이라는 대규모 피시 공격을 발견했다. 

Advintel 연구팀은 "올해 3월에 콜백 피싱이 부활한 이후, 공격 방법을 업그레이드했으며 해커는 새로운 랜섬웨어를 계속해서 개발하고 있다. Silent Ransom은 더 이상 그들이 개척한 고도로 지정된 피싱 작업을 활용하는 방법이 아니다. 이 외에도 피싱 캠페인을 기반으로 하는 다양한 랜섬웨어를 개발하고 있다”라고 말했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.