CWN(CHANGE WITH NEWS) - 해커 세력, ′가짜 예약′으로 행사 기관·호텔·여행사 등에 피싱 공격 개시

소프트웨어 보안 기업 프루프포인트(Proofpoint)가 최근 들어 TA558이라는 해커 조직의 활동이 급증한 것을 관측했다.

사이버 보안 전문 매체 블리핑컴퓨터는 프루프포인트의 조사 결과를 인용, 올해 들어 TA558이 피싱 메일에 매크로 문서를 사용하던 수법에서 RAR 및 ISO 파일, URL을 첨부한 메시지 동원 수법으로 변경한 사실을 전했다.

TA558은 최소 2018년부터 공격을 개시한 것으로 추정되며, 올해 들어 공격이 급증하였다. 주요 공격 대상은 컨퍼런스 주최 기관과 여행사 등이다. 공격 과정에 보낸 이메일 및 메시지 내용 상당수는 가짜 예약 관련 내용으로, 피해 기관이 무시하기 어려운 내용을 담았다. 메일에는 예약 링크로 보이는 URL 링크가 추가되었다. 해당 링크를 클릭하면, 원격으로 ISO 파일을 받게 된다.

아카이브에는 파워셸(PowerShell) 스크립트를 실행하는 배치 파일이 포함된 것으로 확인됐다. 스크립트는 원격 접근 트로이 목마 페이로드를 피해자의 기기에 심고, 영구적으로 일정을 정한다.

TA558은 RAT 멀웨어로 호텔 시스템을 공격한 뒤 네트워크 깊은 곳으로 침입해, 신용카드 정보와 고객 신원 등 민감 데이터를 탈취했다.

TA558은 영어, 스페인어, 포르투갈어로 피싱 메일을 영어, 포르투갈어, 스페인어 등으로 작성하여 주로 북미와 서유럽, 남미 기업을 공격 대상으로 삼았다. 특히, 포르투갈어와 스페인어로 작성한 피싱 메일 공격 비율이 압도적으로 높은 것으로 확인됐다.

일례로 지난 7월, 포르투갈 리스본 소재 마리노 부티크 호텔은 부킹닷컴 계정 해킹 후 4일간 아무 의심 없이 예약하지 않은 숙박 시설 금액을 결제한 고객의 신용카드에서 50만 유로 탈취 공격이 발생했다고 보고했다.

이 밖에 프루프포인트는 TA558이 피싱 공격으로 탈취한 신용카드 정보를 블랙메일 공격을 원하는 개인 해커 세력에, 보안이 취약한 호텔 네트워크 접근 정보는 랜섬웨어 조직에 판매한 사실을 발견했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]