구글 위협 인텔리전스 그룹(GTIG)이 금전적 목적으로 보이스 피싱 공격을 일삼는 위협 그룹 UNC6040에 대한 새로운 조사 결과를 발표했다.

최근 유럽과 미주 지역에서 UNC6040이 다양한 기업의 임직원을 속여 변조된 세일즈포스(Salesforce) 커넥티드 앱 설치를 유도함으로써 세일즈포스 인스턴스를 침해하고 데이터를 탈취하는 사례가 관찰됐다.

특히 관찰된 모든 사례에서 공격자들은 세일즈포스의 자체 취약점을 악용하는 대신 최종 사용자를 속이는 데 주력하는 특징을 보였다.

주요 조사 결과는 다음과 같다.

· 보이스 피싱을 사용한 공격: UNC6040의 공격자는 IT 지원을 사칭해 전화를 걸어 (세일즈포스의 승인을 받지 않은) 변조된 세일즈포스 커넥티드 앱을 설치하도록 유도한다. 이 앱들은 주로 세일즈포스의 데이터 로더(Data Loader) 변형으로 위장하며, 공격자는 이를 통해 민감한 데이터에 접근하고 다른 클라우드 서비스 및 기업 내부 네트워크로 측면 이동할 수 있다.
- 악성 커넥티드 앱을 통해 데이터 로더 기능을 악용하는 방식은 세일즈포스가 위협으로부터 자사의 솔루션 환경을 보호하기 위해 발표한 지침에서 서술한 최근 관찰 내용과 일치한다.
· 취약점 대신 사용자 조작: 이번 공격의 가장 중요한 특징은 공격자들이 세일즈포스의 취약점이 아니라 최종 사용자의 신뢰를 악용한다는 점이다.
· 공격의 영향: 구글 위협 인텔리전스 그룹은 약 20개의 조직이 이번 공격의 영향을 받은 것으로 파악했다. 수개월 전부터 시작된 UNC6040의 공격은 여전히 계속 진행 중이다.
· 공격 대상: 구글 위협 인텔리전스 그룹의 전문가들은 UNC6040을 ‘기회주의적’이라 평가하며, 이들의 공격은 미국과 유럽 전역의 관광, 소매, 교육 및 기타 다양한 산업 분야에 걸쳐 나타났다.
· 갈취 방식: 일부 사례에서는 최초 침입 후 몇 달이 지나서야 갈취 활동이 나타났는데, 이는 UNC6040이 탈취한 데이터에 대한 접근 권한을 통해 수익을 창출하는 또 다른 위협 행위자와 협력했을 가능성을 시사한다.
· 공격 수법: UNC6040은 갈취 시도 과정에서 피해자에게 압력을 가중시키기 위해 유명한 사이버 범죄 그룹인 ‘샤이니헌터스(ShinyHunters)’와 같은 공격 그룹과의 연계를 주장하는 모습이 관측됐다.
- 구글 위협 인텔리전스 그룹의 정보에 따르면 UNC6040의 인프라 및 TTP (전술, 기술, 절차)는 느슨한 사이버 범죄자 연합인 ‘더컴(The Com)’의 생태계와 일치한다. ‘스캐터드 스파이더(Scattered Spider)’로 불리는 UNC3994 또한 해당 생태계의 일원이다.
- 구글 위협 인텔리전스 그룹은 UNC6040이 액세스 관리 플랫폼인 옥타(Okta)를 위장한 피싱 페이지로 사용자를 속이고, 직접 다중 인증(MFA) 코드를 입력하도록 유도하며, 데이터 유출을 위해 뮬바드(Mullvad) VPN의 IP 주소를 사용하는 것을 확인했다.

이번 조사 결과에 대한 자세한 내용은 블로그를 통해 확인할 수 있다.