산발적인 스파이더 해커들, 이제는 미국 보험 회사들을 표적으로 삼아

별명 UNC3944로 활동하는 사이버 범죄 그룹인 Scattered Spider가 미국 전역의 보험 회사들을 공격하기 시작했습니다

Google의 Threat Intelligence Group(GTIG)은 최근 다수의 침입 사례를 확인했으며, 이들은 그룹의 전형적인 방법과 일치합니다. 이 방법들은 강력한 사회 공학 기법을 사용하여 강인한 사이버보안 시스템을 극복하는 것이 특징입니다.

“Google Threat Intelligence Group은 지금 미국에서 수차례의 침투 사례를 인지하고 있으며, 이들은 모두 Scattered Spider의 활동을 나타내는 특징을 가지고 있습니다. 현재 보험 산업에서도 사건이 발생하고 있습니다.”라고 GTIG의 수석 분석가인 John Hultquist가 Bleeping Computer에 전했습니다.

Scattered Spider는 보통 한 번에 한 산업 부문만 공격하는 경향이 있기 때문에, Hultquist는 “보험 산업은 매우 경계해야 한다.”고 경고했습니다.

이전에 이 그룹은 마크스 & 스펜서와 하로즈와 같은 주요 영국 소매업체를 공격하였으며, 이를 통해 피싱, SIM 스와핑, 그리고 MFA 피로 전략을 사용하여 DragonForce와 RansomHub 같은 랜섬웨어를 배포하기 위한 시스템 접근 권한을 획득했습니다. 이러한 도구들은 가치 있는 데이터를 추출하면서 필수 시스템에 대한 접근을 복구하기 위한 몸값을 요구합니다.

해커들은 GTIG 및 기타 전문가들에 따르면, 도움말 데스크 직원을 가장하면서 AI로 생성된 의사소통을 사용해 목표를 속이며 공격을 시작합니다. 공격자들은 자신들의 권한을 높이기 위해 접근하고, 그러고 나서 회사 내 다른 시스템으로 이동합니다.

해당 그룹은 대규모 IT 및 고객 서비스 팀을 보유한 조직을 직접적인 커뮤니케이션 방법을 통해 목표로 하며, 사회공학을 통해 이들을 조종하는 동시에 재무 목표를 추진하고 있습니다.

GTIG는 조직에게 신원 보호 조치를 강화하고, 인증 프로토콜을 개선하며, 이메일, 전화, 메시지 시스템을 통한 사칭 전략에 대한 스태프 교육을 제공하는 것을 권장합니다.

조직들은 고수준 시스템 접근 권한을 가진 직원들의 헬프데스크 인증서 재설정 절차를 검토하는 동시에 비정상 로그인 활동에 대한 적극적인 모니터링을 실시해야 합니다.

사이버보안 커뮤니티는 UNC3944를 주요 위협으로 인식하고 있습니다. 이 그룹은 매년 수차례에 걸쳐 거의 모든 미국 시민에게 사기 메시지를 보낼 충분한 자원을 보유하고 있기 때문입니다.