구글 위협 인텔리전스 그룹(GTIG)은 금전적 목적으로 보이스 피싱 공격을 일삼는 위협 그룹 UNC6040에 대한 새로운 조사 결과를 발표했다. 최근 유럽과 미주 지역에서 UNC6040이 세일즈포스(Salesforce) 커넥티드 앱을 변조하여 설치를 유도하고, 이를 통해 세일즈포스 인스턴스를 침해하고 민감한 데이터를 탈취하는 사례가 관찰됐다. UNC6040의 공격자들은 IT 지원을 사칭해 전화를 걸고, (세일즈포스의 승인을 받지 않은) 변조된 세일즈포스 커넥티드 앱을 설치하도록 유도한다. 이 앱들은 주로 세일즈포스 데이터 로더(Data Loader)의 변형으로 위장되며, 공격자는 이를 통해 민감한 데이터에 접근하고, 다른 클라우드 서비스 및 기업 내부 네트워크로 측면 이동을 할 수 있다. 세일즈포스가 위협으로부터 자사의 솔루션 환경을 보호하기 위해 발표한 지침에서 언급한 악성 커넥티드 앱을 통한 데이터 로더 기능 악용 방식과 일치한다. 이번 공격의 가장 중요한 특징은 세일즈포스의 취약점이 아니라 최종 사용자의 신뢰를 악용했다는 점이다. 공격자들은 사용자를 속여 변조된 앱을 설치하도록 유도하며, 보안 취약점을 악용하지 않고도 민감한 데이터에 접근할 수 있다. 구글 위협 인텔리전스 그룹은 약 20개 조직이 이번 공격의 영향을 받았다고 밝혔으며, UNC6040의 공격은 수개월 전부터 시작되었고, 여전히 진행 중이다. 전문가들은 UNC6040을 ‘기회주의적’으로 평가하며, 미국과 유럽 전역의 관광, 소매, 교육 등 다양한 산업 분야를 대상으로 공격을 진행했다고 밝혔다. 일부 사례에서는 최초 침입 후 몇 달이 지나서야 갈취 활동이 나타났다. 이는 UNC6040이 탈취한 데이터에 대한 접근 권한을 통해 수익을 창출하는 또 다른 위협 행위자와 협력했을 가능성을 시사한다. UNC6040은 갈취 시도 과정에서 피해자에게 압력을 가중시키기 위해 ‘샤이니헌터스(ShinyHunters)’와 같은 유명한 사이버 범죄 그룹과의 연계를 주장한 것으로 확인되었다. 또한, UNC6040의 인프라 및 TTP(전술, 기술, 절차)는 느슨한 사이버 범죄자 연합인 ‘더컴(The Com)’의 생태계와 일치하며, ‘스캐터드 스파이더(Scattered Spider)’로 불리는 UNC3994 또한 해당 생태계의 일원으로 확인되었다. UNC6040은 액세스 관리 플랫폼인 옥타(Okta)를 위장한 피싱 페이지로 사용자를 속이고, 직접 다중 인증(MFA) 코드를 입력하도록 유도했다. 또한, 데이터 유출을 위해 뮬바드(Mullvad) VPN의 IP 주소를 사용하는 방식도 확인되었다. 이번 조사 결과는 UNC6040의 보이스 피싱 및 피싱 공격 방식에 대한 중요한 통찰을 제공하며, 기업들이 보안 강화를 위한 대응책을 마련하는 데 중요한 참고자료가 될 것이다. 자세한 조사 내용은 구글 위협 인텔리전스 그룹의 블로그에서 확인할 수 있다. Welaunch 김아현 기자 스타트업 뉴스 플랫폼, 위런치 © 2024 Welaunch. All Rights Reserved 보도자료/기고 : editor@welaunch.kr 광고/제휴 문의: we@welaunch.kr