Trace Id is missing

점점 더 커지는 기프트 카드 사기 위험

다운로드
공유
노트북과 화면 밖으로 나와 날아가는 기프트 카드와 신용 카드

Cyber Signals 7호: 사자 굴 속으로

디지털 거래와 온라인 쇼핑이 일상 속 필수 요소가 된 시대에, 사이버 범죄의 위협이 다가오고 있습니다. 이러한 위협 중에서 신용 카드 회사나 소매업체의 기프트 카드를 모두 포함하는 기프트 및 결제 카드 사기가 퍼지며 진화하고 있습니다. 범죄자들은 ​​점점 더 정교한 방법을 사용하여 기프트 카드 포털을 손상시키고 추적이 거의 불가능한 현금으로 전환합니다.

Cyber Signals의 이번 호에서는 Microsoft에서 Storm-0539라고 명명했으며 Atlas Lion이라고도 불리는 사이버 범죄 위협 행위 단체가 사용하는 전술, 기법, 절차와 기프트 카드 탈취 영역에서 이들의 활동, 그 방식의 복잡성, 그리고 개인, 기업, 사이버 보안 환경에 미치는 영향을 자세히 살펴봅니다.

Storm-0539는 수년 동안 일관성 있는 행보를 보이며 끊임없이 변화하는 범죄 환경에 적응해 왔습니다. 이들은 암호화된 채널과 지하 포럼으로 이루어진 미로 같은 네트워크를 통해 기술적 허점을 악용하고 교묘한 소셜 엔지니어링 작전을 전개하여 작전 규모를 확장하는 불법적 활동을 조직합니다.

다수의 사이버 범죄 위협 행위자들은 빠르게 이익을 얻는 가장 쉬운 방식을 택하고 규모에 중점을 두지만 Storm-0539는 기프트 카드 시스템과 거래를 손상시키는 데 중점을 두는 고요하면서도 생산적인 움직임을 보입니다. 이 악의적 사용자 단체는 소매, 결제 및 기타 관련 산업 전반의 변화에 ​​맞춰 기법을 조정해 가며 끈질기게 기프트 카드 발급 업체를 표적으로 삼습니다.

우리 모두는 이를 방어해야 합니다.

역사적으로 Storm-0539는 주요 연휴 시즌을 앞두고 공격 활동을 늘렸습니다. Microsoft는 여름 휴가 시즌을 앞둔 2024년 3월부터 5월 사이에 Storm-0539의 침입 활동이 30% 증가한 것을 관찰했습니다. 2023년 9월부터 12월까지 가을 및 겨울 휴가 기간에 맞춰서는 공격 활동이 60% 증가했습니다.

  • 2024년 3월부터 5월 사이, Storm-0539 침입 활동 30% 증가
  • 2024년 9월부터 12월 사이, Storm-0539 침입 활동 60% 증가

기프트 카드와 결제 카드 절도 전략을 개선하는 공격자들

Storm-0539는 모로코에 기반을 두고 활동하며 기프트 카드 사기 등의 금융 범죄에 연루되어 있습니다. 이들의 기법에는 피싱, 스미싱, 그리고 피해자 환경에 자체 디바이스를 등록하여 지속적인 액세스 권한을 획득하는 것과 대상 타사 조직에 대한 액세스 권한을 활용하는 것 등이 포함됩니다. 이들은 디바이스 등록을 통해 손상된 피해자 계정에 연결된 MFA(다단계 인증) 메시지가 공격자의 디바이스로 전송되도록 합니다. 디바이스를 등록하면 ID를 완전히 침해하여 클라우드 환경에 계속 남아 있을 수 있습니다. 

2021년 말부터 활동 중인 이 사이버 범죄 단체는 결제 카드 계정 및 시스템 공격에 중점을 둔 위협 행위자의 진화 양상을 보여줍니다. 과거 공격자들은 POS(Point of Sale) 맬웨어를 사용하여 결제 카드 데이터를 손상시키는 경우가 많았습니다. 그러나 업계가 POS 방어를 강화함에 따라 Storm-0539는 대규모 소매업체, 고급 브랜드, 유명 패스트푸드 식당과 연계된 기프트 카드 포털을 범죄 표적으로 삼아 클라우드 및 ID 서비스를 손상시키는 방향으로 자신들의 공격 기법을 적응시켰습니다.

역사적으로 결제 카드 및 기프트 카드 사기는 정교한 맬웨어 및 피싱 작전과 관련이 있었습니다. 그러나 이 단체는 클라우드에 대한 깊은 지식을 활용하여 조직의 기프트 카드 발급 프로세스, 기프트 카드 포털, 기프트 카드에 액세스할 수 있는 직원에 대한 정찰을 수행합니다.

공격 체인에는 일반적으로 다음 작업이 포함됩니다.
  • Storm-0539는 직원 디렉터리 및 일정, 연락처 목록, 이메일 받은 편지함을 사용하여 스미싱 문자를 통해 직원의 개인 및 회사 휴대폰을 표적으로 삼습니다. 
  • 대상 조직의 직원 계정에 침투하고 나면 공격자는 네트워크 내부를 이동하며 기프트 카드 비즈니스 프로세스를 파악하고 이 특정 포트폴리오에 연결된 손상된 계정을 노립니다. 
  • 또한 가상 머신, VPN 연결, SharePoint, OneDrive 리소스는 물론 Salesforce, Citrix 및 기타 원격 환경에 대한 정보도 수집합니다. 
  • 액세스 권한을 얻은 후 손상된 직원 계정을 사용하여 새 기프트 카드를 만듭니다. 
  • 그런 다음 해당 카드에 연결된 금액을 사용하거나, 암시장에서 다른 위협 행위자에게 기프트 카드를 판매하거나, 불법 자금 송금책을 통해 기프트 카드를 현금화합니다.
표적이 된 직원의 회사 기술 지원팀을 사칭하는 Storm-0539 스미싱 메시지가 표시된 두 개의 휴대폰을 보여 주는 이미지.
표적이 된 직원의 회사 기술 지원 팀을 사칭하는 Storm-0539 스미싱 메시지.

Storm-0539의 정찰 및 클라우드 환경 활용 능력은 Microsoft가 파악한 국가가 후원하는 위협 행위자의 특징과 유사하며, 첩보 활동과 지정학적 요소에 중점을 둔 공격자들이 많이 사용하는 기법이 현재 금전적 이득을 노리는 범죄자에게 어떻게 영향을 미치고 있는지 보여줍니다.

예를 들어 Storm-0539는 최종 사용자에게만 초점을 맞추는 것이 아닌 클라우드 기반 소프트웨어, ID 시스템, 액세스 권한에 대한 지식을 활용하여 기프트 카드가 생성되는 위치를 노립니다. 이러한 활동은 고급 국가 후원 행위자와 매우 유사하게 클라우드 리소스에 전술적으로 정통한 Octo Tempest 및 Storm-0539와 같은 비국가 단위 그룹들에게서 보이는 추세입니다.

자신을 위장하면서 계속해서 탐지되지 않도록 하기 위해 Storm-0539는 클라우드 공급자를 대상으로 합법적인 조직인 양 행세하여 공격 활동을 위한 임시 애플리케이션, 저장소 및 기타 초기 무료 리소스를 얻습니다.

이러한 활동의 일환으로 이들은 일반적으로 타이포스쿼팅 수법을 사용하여 미국의 자선 단체, 동물 보호소 및 기타 비영리 단체를 사칭하는 웹 사이트를 만듭니다. 타이포스쿼팅이란 흔하게 잘못 입력되는 조직의 도메인 철자를 개인이 자신의 도메인으로 등록하여 사용자가 사기 사이트를 방문해 개인 정보나 회사 로그인 정보를 입력하도록 속이는 사기성 수법입니다.

이들의 사기 수단을 더욱 분명히 알기 위해 Microsoft는 Storm-0539가 비영리 조직의 공개 웹 사이트에서 IRS(국세청)가 발행한 501(c)(3) 서한의 적법한 사본을 다운로드하는 것을 관찰했습니다. 적법한 501(c)(3) 서한의 사본과 서한이 발행된 비영리 단체를 사칭하는 아주 비슷한 도메인으로 무장한 이들은 주로 비영리 단체에 제공되는 기술 서비스 후원 또는 할인을 노리고 주요 클라우드 공급자에 접근합니다.

Storm-0539이 어떻게 작전을 펼치는지 보여주는 인포그래픽.
Storm-0539의 작전은 무료 평가판, 종량제 구독, 손상된 클라우드 리소스를 시작점으로 합니다. Storm-0539가 여러 클라우드 공급자로부터 비영리 기관 후원을 받기 위해 합법적인 비영리 기관을 사칭하는 것 또한 관찰되었습니다.

이 단체는 또한 신규 고객에게 일반적으로 30일 액세스 권한을 제공하는 클라우드 서비스 플랫폼에서 무료 평가판 또는 학생 계정을 만듭니다. 이러한 계정 내에서 대상 작전을 시행할 가상 머신을 생성합니다. 클라우드 기반 공격 인프라를 침해하고 생성하는 Storm-0539의 기술을 통해 이들은 호스트 및 서버 비용 지불과 같은 사이버 범죄 경제에서 일반적인 초기 비용을 피하여 비용을 최소화하고 효율성을 극대화합니다.

Microsoft는 Storm-0539가 AiTM(중간자 공격) 페이지의 디자인 및 합법적인 서비스와 아주 유사한 등록 도메인의 사용을 포함하여 사용자 로그인 환경을 감쪽같이 모방하기 위해 표적 회사의 페더레이션 ID 서비스 공급자에 대한 광범위한 정찰을 수행한다고 평가합니다. 다른 사례로는 Storm-0539가 AiTM 방문 페이지를 제작하기 위해 최근 등록된 합법적인 WordPress 도메인을 손상시킨 예가 있습니다.

권장 사항

  • 토큰 보호 및 최소 권한 액세스: 정책을 사용해 토큰을 합법적인 사용자 디바이스에 바인딩하여 토큰 재생 공격으로부터 보호합니다. 전체 기술 스택에 최소 권한 액세스 원칙을 적용하여 공격의 잠재적 영향을 최소화합니다.
  • 안전한 기프트 카드 플랫폼 채택 및 사기 방지 솔루션 구현: 결제를 인증하도록 설계된 시스템으로 전환하는 것이 좋습니다. 판매자는 사기 방지 기능을 통합하여 손실을 최소화할 수도 있습니다.
  • 피싱 방지 MFA: FIDO2 보안 키와 같은 다양한 공격의 영향을 받지 않는 피싱 방지 자격 증명으로 전환합니다.
  • 사용자 위험 수준이 높은 경우 보안 암호 변경 요구: 사용자가 위험 교정을 위해 암호 쓰기 저장을 사용하여 새 암호를 생성할 수 있으려면 Microsoft Entra MFA가 필요합니다.
  • 직원 교육: 판매자는 잠재적인 기프트 카드 사기를 알아보고 의심스러운 주문을 거부하도록 직원을 교육해야 합니다.

폭풍우 이기기: Storm-0539의 공격 방어

기프트 카드는 신용 카드나 직불 카드와 달리 고객 이름이나 은행 계좌가 연결되어 있지 않기 때문에 사기의 표적으로 삼기에 매력적입니다. Microsoft는 계절별 연휴 기간 동안 이 업계에 초점을 맞춘 Storm-0539의 활동이 증가할 것으로 보고 있습니다. 미국의 현충일, 노동절, 추수감사절은 물론 전 세계에서 보이는 블랙프라이데이와 겨울 연휴는 이 단체의 활동 증가와 관련이 있는 경향이 있습니다.

일반적으로 조직들은 개별 기프트 카드에 발행할 수 있는 금액에 한도를 설정합니다. 예를 들어 해당 한도가 USD$100,000라면 이 위협 행위 단체는 USD$99,000의 카드를 발급한 다음 자신에게 기프트 카드 코드를 보내고 이를 수익화합니다. 이들의 주된 동기는 기프트 카드를 훔쳐서 온라인에서 할인된 가격에 판매하여 이익을 얻는 것입니다. Microsoft는 이 위협 행위 단체가 특정 회사에서 하루 최대 USD$100,000를 탈취한 몇 가지 사례를 목격했습니다.

이러한 공격을 방어하고 이 단체가 기프트 카드 부서에 무단으로 액세스하는 것을 방지하기 위해 기프트 카드 발급 회사는 기프트 카드 포털을 고가치 표적으로 취급해야 합니다. 면밀한 모니터링과 지속적인 감사를 통해 비정상적인 활동이 있는지 확인하는 것이 필요합니다.

기프트 카드를 생성하거나 발급하는 모든 조직은 계정이 손상된 경우라 하더라도 기프트 카드 포털 및 기타 고가치 표적에 빠르게 액세스하는 것을 방지하기 위해 견제와 균형을 구현하는 것이 도움이 될 수 있습니다. 로그를 지속적으로 모니터링하여 의심스러운 로그인 및 클라우드 ID 침해를 이용하는 기타 일반적인 초기 액세스 벡터를 식별하고, 로그인을 제한하고 위험한 로그인에 플래그를 지정하는 조건부 액세스 정책을 구현합니다.

또한 조직은 IP 주소 위치 정보, 디바이스 상태 등과 같은 추가적인 ID 기반 신호를 사용하여 인증 요청을 평가하는 조건부 액세스 정책으로 MFA를 보완하는 것이 좋습니다.

이러한 공격을 억제하는 데 도움이 될 수 있는 또 다른 전략은 도메인 구매를 위한 고객 검증 프로세스입니다. 규제와 공급업체 정책은 전 세계에서 악의적인 타이포스쿼팅을 일관되게 방지하지 못할 수 있습니다. 즉, 이러한 사기성 웹 사이트가 사이버 공격을 확장하는 방법으로 계속해서 널리 이용될 수 있습니다. 도메인 생성에 요구되는 검증 프로세스는 피해자를 속이려는 목적으로만 생성되는 사이트를 더 많이 억제하는 데 도움이 될 수 있습니다.

Microsoft는 오인할 수 있는 도메인 이름 외에도 Storm-0539가 합법적인 내부 회사 이메일 배포 목록을 사용하여 회사에 발판을 마련하고 배포 목록 및 기타 비즈니스 규범을 이해한 후 피싱 메시지를 퍼뜨리는 것을 관찰했습니다.

유효한 배포 목록을 통한 피싱은 악성 콘텐츠를 더 신뢰할 수 있도록 만들 뿐만 아니라 Storm-0539가 지속성과 도달 범위를 확보하기 위해 사용하는 자격 증명, 관계, 정보에 액세스할 수 있는 더 많은 개인을 대상으로 콘텐츠 타겟팅을 정교화하는 데도 도움이 됩니다.

사용자가 피싱 이메일이나 텍스트에 포함된 링크를 클릭하면 자격 증명 탈취 및 2차 인증 토큰 획득에 이용되는 AiTM 피싱 페이지로 리디렉션됩니다. 소매업체는 스미싱/피싱 사기가 이루어지는 방식과 사기 식별 방법 및 신고 방법을 직원에게 교육하는 것이 좋습니다.

데이터를 암호화하고 훔친 후 돈을 지불하라고 못살게 구는 요란한 랜섬웨어 위협 행위자와 달리 Storm-0539는 클라우드 환경에서 조용히 정찰 정보를 수집하고 클라우드 및 ID 인프라를 악용하여 최종 목표를 달성한다는 점을 눈여겨보는 것이 중요합니다.

Storm-0539 작전은 공격자가 손상된 적법 이메일을 이용하고 대상 회사가 사용하는 합법적인 플랫폼을 모방하기 때문에 속아 넘어가기 쉽습니다. 일부 회사는 기프트 카드 손실을 복구할 수 있습니다. 이를 위해서는 위협 행위 단체가 어떤 기프트 카드를 발급했는지 파악하기 위한 철저한 조사가 필요합니다.

Microsoft 위협 인텔리전스는 Storm-0539의 영향을 받은 조직에 알림을 보냈습니다. 부분적으로는 이러한 정보 공유 및 협업으로 인해 최근 몇 달 동안 Storm-0539 활동을 효과적으로 차단하는 주요 소매업체의 능력이 향상되는 것이 관찰되었습니다.

"피싱/스미싱"으로 시작하여 "클라우드 리소스 액세스", "영향(데이터 반출 및 기프트 카드 탈취)", "향후 공격을 위한 정보"로 이어지는 Storm-0539 침입 수명주기를 보여주는 인포그래픽. "ID"가 그래픽의 중앙에 계속 있음.
Storm-0539 침입 수명 주기.

권장 사항

  • 피싱 및 AiTM 활동과 관련된 사용자의 암호 재설정: 활성 세션을 취소하려면 즉시 암호를 재설정합니다. 공격자가 손상된 계정에 대해 수행한 MFA 설정 변경 사항을 취소합니다. MFA 업데이트에 MFA 챌린지 재전송을 기본적으로 요구합니다. 또한 직원이 회사 네트워크에 액세스하는 데 사용하는 모바일 디바이스도 유사하게 보호되어야 합니다.
  • Office 365용 Microsoft Defender에서 ZAP(제로 아워 자동 제거) 활성화: ZAP는 알려진 악성 메시지의 동일한 요소를 기반으로 피싱 캠페인의 일부인 이메일을 찾아 자동화된 조치를 취합니다.
  • 공격 표면 최소화를 위해 ID, 액세스 권한, 배포 목록 업데이트: Storm-0539와 같은 공격자는 엄청난 영향을 미칠 수 있는 과도한 액세스 권한을 가진 사용자를 찾아 손상시킬 것을 상정합니다. 직원과 팀 역할은 자주 바뀔 수 있습니다. 권한, 배포 목록 구성원 및 기타 특성에 대한 정기적인 검토 관행을 확립하면 초기 침입으로 인한 악영향을 제한하고 침입자의 작업을 더욱 어렵게 만들 수 있습니다.

사이버 범죄 및 최신 위협 추적을 전담하는 Microsoft 위협 인텔리전스 전문가와 Storm-0539 에 대해 자세히 알아보세요.

방법론: 스냅샷 및 표지 통계 데이터는 위협 행위 단체 Storm-0539에 대한 고객 알림 및 관찰이 증가했음을 보여줍니다. 이 수치는 이 그룹을 모니터링하는 데 소요되는 직원 및 리소스의 증가를 반영합니다. Azure Active Directory는 악성 이메일 계정, 피싱 이메일, 네트워크 내 공격자 이동과 같은 위협 활동에 대한 익명화된 데이터를 제공했습니다. 추가 인사이트는 클라우드, 엔드포인트, 인텔리전트 에지 및 Microsoft Defender를 비롯한 Microsoft 플랫폼 및 서비스의 원격 분석을 포함하여 Microsoft가 매일 처리하는 78조 개의 일일 보안 신호를 출처로 합니다.

Cyber Signals 피싱 위협 행위자

관련 기사

Storm-0539 기프트 카드 사기 추적 전문가 만나보기

Microsoft 위협 인텔리전스 분석가 Alison Ali, Waymon Ho, Emiel Haeghebaert는 국제 관계, 연방 법 집행, 보안, 정부 등 다양한 분야에서 경험을 쌓은 전문가로, 결제 카드 탈취와 기프트 카드 사기를 전문으로 하는 위협 행위 단체 Storm-0539를 추적하는 데 필요한 다양하고 특별한 기술을 제공합니다.
자세한 정보

신뢰 경제를 이용한 소셜 엔지니어링 사기

신뢰가 곧 돈이며 취약점이기도 한 진화하는 디지털 환경을 살펴보세요. 사이버 공격자가 가장 많이 사용하는 소셜 엔지니어링 사기 기법을 알아보고, 인간의 본성을 이용하도록 고안된 소셜 엔지니어링 위협을 식별하고 저지하는 데 도움이 되는 전략을 확인하세요.
자세한 정보

비즈니스 전자 메일 침해의 급증을 초래하는 전략 변화

사이버 범죄자들이 공격의 출처를 모호하게 하고 더욱 악랄해지는 가운데 BEC(비즈니스 전자 메일 침해)가 증가하고 있습니다. CaaS 및 조직을 보호하는 방법을 알아보세요.
자세한 정보

Microsoft Security 팔로우