사이버 보안 기업 Mandiant의 최신 보고서에 따르면, Silent Ransom Group(UNC3753, Luna Moth, Chatty Spider로도 불림)이 미국 내 로펌과 전문 서비스 조직을 대상으로 사회공학적 공격을 활발히 전개하고 있다. 이들은 주로 인보이스를 가장한 피싱 이메일과 IT 지원팀을 사칭한 전화로 접근해, 피해자에게 원격 지원 세션 참여를 유도한 뒤 AnyDesk, Zoho Assist 등 원격 관리 도구를 설치하게 하여 기업 네트워크에 침투한다. 침투 후에는 계약서, 세금 기록, 사회보장번호, 인수합병 관련 파일 등 민감한 법률 및 금융 문서를 집중적으로 탈취한다.
이 그룹은 탈취한 데이터를 근거로 피해 조직에 신속하게 몸값을 요구하며, 협상에 응하지 않을 경우 고객 및 외부 클라이언트에게 직접 연락해 유출 사실을 알리겠다고 협박한다. 특히 로펌은 대량의 민감한 고객 정보를 보유하고 있어 평판 및 규제 위험을 우려해 조용히 사건을 해결하려는 경향이 있어 주요 표적이 되고 있다. FBI는 이들이 원격뿐 아니라 실제 사무실을 방문해 데이터를 복사하는 등 대담한 수법도 사용한다고 경고했다.
Silent Ransom Group은 2022년 Ryuk 및 Conti 랜섬웨어 조직과 연계되어 활동하다가, 최근에는 랜섬웨어 암호화 없이 데이터 탈취 및 협박에 집중하고 있다. 또한, Resecurity 보고서에 따르면 이들은 DNS fast flux 기법을 활용해 데이터 유출 사이트의 인프라를 은폐하고 있으며, 라틴아메리카, 동유럽, 중앙아시아, 중동, 아시아 등 여러 국가의 주거용 IP를 이용해 추적을 어렵게 하고 있다. Mandiant와 FBI는 IT 지원 요청 시 엄격한 검증, 원격 접근 도구 제한, 다중 인증, USB 저장장치 제한, 음성 피싱 인식 교육 등을 권고하고 있다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.