스피어 피싱 계획을 통해 회사 임원을 표적으로 삼은 해커들

클클리너
보안 회사 Proofpoint 보고서 TA530이라고 부르는 "금전적 동기를 지닌 위협 행위자"는 현재 비정상적으로 개인화된 스피어 피싱 캠페인을 통해 회사 임원과 추가적인 고위 직원을 표적으로 삼고 있습니다. 최고 재무 책임자(CFO), 수석 부사장 등 고위직을 맡은 개인을 대상으로 합니다. 대통령은 특정 이름, 직위, 전화번호 등이 포함된 이메일을 사용하여 이메일 본문.

스피어 피싱 캠페인은 소수의 피해자를 속이기 위해 일반 청중에게 이메일을 보내지 않지만 일반적으로 다음에 중점을 둡니다. 군사 데이터나 무역과 같은 기밀 정보를 제공하도록 개인을 유인하기 위한 특정 조직 비밀. 해당 이메일은 신뢰할 수 있는 소스에서 보낸 것으로 보이며, 악성 코드가 감염된 가짜 웹 페이지 링크나 악성 소프트웨어를 다운로드하는 파일이 포함되어 있습니다.

추천 동영상

Proofpoint는 TA530에서 사용하는 정보가 회사 자체 웹사이트, LinkedIn 등과 같은 공개 사이트에서 수집될 수 있다고 말합니다. 미국, 영국 및 호주에 기반을 둔 조직에 위치한 최대 수만 명의 개인을 대상으로 합니다. 공격 규모는 다른 스피어 피싱 캠페인보다 규모가 훨씬 크지만 아직 규모에 근접하지는 않았습니다. 드리덱스 그리고 록키.

TA530은 주로 금융 서비스를 대상으로 하며 소매, 제조, 의료, 교육 및 비즈니스 서비스 분야의 조직이 그 뒤를 따릅니다. 기술 중심 조직도 보험 회사, 유틸리티 서비스, 엔터테인먼트 및 미디어 관련 회사와 함께 영향을 받습니다. 운송은 대상 목록에서 가장 낮습니다.

TA530은 뱅킹 트로이목마, POS 정찰 트로이목마, 다운로더, 파일 암호화 랜섬웨어, 뱅킹 트로이목마 봇넷 등을 포함하여 다양한 플레이로드를 보유하고 있습니다. 예를 들어, POS(Point of Sale) 정찰 트로이목마는 주로 소매업체, 숙박업체, 금융 서비스업체를 대상으로 하는 캠페인에 사용됩니다. 뱅킹 트로이목마는 호주 전역에 위치한 은행을 공격하도록 구성되어 있습니다.

보고서에 제공된 샘플 이메일에서 Proofpoint는 TA530이 소매 회사의 관리자를 감염시키려고 시도하고 있음을 보여줍니다. 이 이메일에는 대상의 이름, 회사 이름 및 전화번호가 포함됩니다. 실제 매장 중 한 곳에서 발생한 사건에 대해 관리자에게 보고서를 작성해 달라는 메시지입니다. 관리자는 문서를 열어야 하는데, 매크로가 활성화되어 있으면 POS(Point of Sale) 트로이목마를 다운로드하여 컴퓨터를 감염시킵니다.

Proofpoint가 제시한 몇몇 사례에서는 대상 개인이 감염된 문서를 받았지만 보안 회사는 이러한 이메일에 악성 링크와 첨부된 JavaScript가 포함될 수도 있다고 밝혔습니다. 다운로더. 또한 회사는 TA530 기반 캠페인에서 개인화되지 않았지만 여전히 동일한 결과를 초래하는 몇 가지 이메일을 확인했습니다.

"TA530의 사례에서 본 내용을 바탕으로 우리는 이 행위자가 계속해서 개인화를 사용하고 페이로드와 전달 방법을 다양화할 것으로 기대합니다."라고 회사는 말합니다. “페이로드의 다양성과 특성은 TA530이 다른 행위자를 대신하여 페이로드를 전달하고 있음을 시사합니다. 이메일 메시지의 개인화는 새로운 것이 아니지만, 이 행위자는 이전에 이 정도 규모로 볼 수 없었던 높은 수준의 개인화를 스팸 캠페인에 통합하고 자동화한 것 같습니다.”

불행하게도 Proofpoint는 이 개인화 기술이 TA530에만 국한되지 않고 궁극적으로 해커가 개인화 방법을 배우면서 사용할 것이라고 믿습니다. LinkedIn과 같은 공개 웹사이트의 기업 정보. Proofpoint에 따르면 이 문제에 대한 답은 최종 사용자 교육과 보안 이메일입니다. 게이트웨이.

편집자의 추천

  • 새로운 코로나19 피싱 이메일은 귀하의 비즈니스 비밀을 훔칠 수 있습니다

당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속 확인할 수 있도록 도와줍니다.