블랙베리 연구 및 정보 부서는 멕시코의 고액 자산가 암호화폐 거래소, 은행, 그리고 총매출액 1억 달러 이상의 대기업들을 표적으로 삼는 금전적 동기의 사이버 공격에 대해 경고했습니다.
공격자들은 멕시코 출신으로 trac되었으며, 중남미에 근거지를 두고 있는 것으로 추정됩니다.
정교한 공격 방법론
블랙베리의 보고서는 공격자들이 AllaKore RAT(원격 접속 트로이목마)라는 오픈 소스 원격 접속 도구를 사용하고 있음을 강조합니다. 이 도구는 은행dent정보 및 고유 인증 데이터와 같은 민감한 사용자 정보를 탈취할 수 있도록 대폭 수정되었습니다.
도난당한 정보는 명령 및 제어(C2) 서버로 전송되어 금융 사기를 용이하게 합니다.
이번 사이버 공격의 주목할 만한 특징 중 하나는 침투 방식입니다. 공격자들은 기업에서 운영하는 컴퓨터와 데이터베이스에 AllaKore RAT(원격 접속 트로이목마)를 설치하는 것을 목표로 하며, 종종 공식적인 명칭과 링크를 사용하여 자신들의 행위를 위장합니다.
이러한 방법을 통해 그들은 직원들의 의심을 피할 수 있었고, 따라서 탐지하기 어려운 위협이 되었습니다.
이러한 사이버 위협의 범위는 금융 부문을 넘어섭니다. 암호화폐 거래소와 은행이 주요 공격 대상이었지만, 다양한 사업 분야의 멕시코 대기업들도 이러한 공격의 피해를 입었습니다.
이러한 부문에는 소매업, 농업, 공공 부문, 제조업, 운송업, 상업 서비스업 및 자본재가 포함됩니다.
주목받는 멕시코 대기업들
공격자들은 총매출액이 1억 달러를 넘는 대기업을 선호합니다. 이러한 기업들은 멕시코 사회보장연구소(IMSS)에 직접 보고하기 때문에trac공격 대상이 됩니다.
사이버 범죄자들이 멕시코 스타링크 IP 주소를 사용하는 것이 관찰되었으며, 이는 그들이 멕시코 기업들을 표적으로 삼고 있음을 더욱 뒷받침합니다.
공격자들이 전술을 정교하게 다듬으면서, AllaKore RAT의 최신 버전은 더욱 복잡한 설치 과정을 사용합니다. 이 악성코드는 마이크로소프트 소프트웨어 설치 파일 안에 숨겨져 대상 조직에 전달됩니다.
해당 악성 소프트웨어는 피해자가 멕시코에 있다는 것을 확인한 후에만 실행되므로, 매우 정교한 수법을 사용하고 있음을 알 수 있습니다.
라틴 아메리카와의 연결
변조된 RAT 페이로드에 포함된 스페인어 지침은 이러한 공격을 감행한 공격자가 라틴 아메리카에 기반을 두고 있음을 시사합니다. 이러한 지역적 연관성은 수사에 복잡성을 더하며, 이러한 사이버 위협에 대응하기 위한 국제적 협력의 필요성을 강조합니다.
이러한 사이버 위협의 진화하는 특성을 고려할 때, 조직, 특히 표적이 되는 업종에 속한 조직들은 시스템과 데이터를 보호하기 위한 선제적인 조치를 취하는 것이 매우 중요합니다.
이러한 조치에는 사이버 보안 프로토콜 강화, 강력한 침입 탐지 시스템 구현, 직원들이 잠재적 위협을 인식할 수 있도록 사이버 보안 교육 제공 등이 포함될 수 있습니다.
협력적인 노력
이러한 사이버 위협에 대응하기 위해서는 민간 부문과 공공 부문 모두의 협력이 필요합니다. 이러한 공격의 영향을 받은 기업은 법 집행 기관 및 사이버 보안 전문가와 긴밀히 협력하여 피해를 조사하고 최소화해야 합니다.
또한, 기업 커뮤니티 내에서 위협 정보와 모범 사례를 공유하면 향후 공격에 대한 방어력을 강화하는 데 도움이 될 수 있습니다.
