해커들, 전화 사기와 새로운 취약점 이용, 618개 기업 침해

EncryptHub의 해커들은 사회 공학적 전략과 복잡한 익스플로잇을 결합하여 전 세계 600여개의 조직을 침해했습니다.

Trustwave SpiderLabs의 연구원들이 EncryptHub 그룹의 새로운 해킹 캠페인을 발견했습니다. 이 캠페인에서는 전화 사기와 고급 기술 트릭을 섞어 피해자의 컴퓨터에 침투합니다.

해커들은 IT 지원 스태프를 가장하면서 시작하여, 직접 전화를 걸어 피해자들과 신뢰를 쌓습니다. 그 후, 그들은 피해자를 설득하여 자신들이 Microsoft Teams 또는 원격 데스크톱 연결을 통해 피해자의 컴퓨터에 접근할 수 있게 합니다. 연결되면, 공격자들은 비밀리에 악성 소프트웨어를 다운로드하는 명령을 실행합니다.

EncryptHub, 또는 LARVA-208과 Water Gamayun으로도 알려져 있으며, 이미 전 세계적으로 618개의 조직을 침해하였습니다. “사회 공학은 여전히 사이버 범죄자의 무기 중 가장 효과적인 도구 중 하나이며, 신흥 위협 그룹인 EncryptHub은 이를 활용하기 위해 바로 동참하였다”고 연구자들은 밝혔습니다.

이 캠페인에서 사용된 주요 결함 중 하나는 ‘MSC EvilTwin’이라고도 알려진 Windows 취약점인 CVE-2025-26633입니다. 이는 해커들이 가짜 시스템 파일을 로드하도록 Windows를 속여 악성 코드를 실행하게 합니다. 공격자들은 이 빈틈을 이용해 감염된 기기를 제어합니다.

해커들은 또한 새로운 도구들을 배포하고 있습니다. ‘SilentCrystal’이라 불리는 도구 중 하나는 가짜 시스템 폴더에 악성 소프트웨어를 숨기고, 합법적인 브라우저 도움말 플랫폼인 Brave Support에서 페이로드를 다운로드합니다. 또 다른 도구는 SOCKS5 프록시 백도어로, 감염된 컴퓨터를 EncryptHub의 명령 센터에 비밀리에 연결합니다.

게다가, 이 그룹은 가짜 비디오 통화 서비스인 rivatalk.net을 설치하여 회의 소프트웨어로 위장된 악의적인 설치 프로그램을 퍼뜨리고 있습니다. 한 번 설치되면, 이는 데이터를 훔치고, 접근을 유지하며, 해커의 트래픽을 정상적인 브라우징 활동처럼 위장하는 PowerShell 스크립트를 숨겨서 실행합니다.

Trustwave SpiderLabs는 EncryptHub이 사기, 도난당한 신뢰, 그리고 새로운 악성 소프트웨어를 혼합함으로써 점점 더 위험해지고 있다고 경고하고 있습니다. 그들은 이 그룹이 “자원이 풍부하고 적응력이 뛰어난 적”이라며 사용자의 인식, 패치, 그리고 빠른 대응이 어느 때보다 중요하다고 결론 내렸습니다.