감염된 장치 원격 접근해 민감 데이터 유출
[보안뉴스 강현주 기자] ‘세금 위반 통지’라는 문서로 위장한 지능형 지속 공격(APT)이 포착돼 주의를 요한다.
카스퍼스키(한국지사장 이효은)는 자사 글로벌 연구 분석팀(GReAT)이 세금 위반 관련 통지 문서로 위장해 악성 파일을 배포하는 APT 공격인 ‘실버폭스’(SilverFox)를 탐지했다고 23일 밝혔다.
▲인도 내 피해자에게 유포된 피싱 이메일 [출처: 카스퍼스키]
이 공격으로 인해 감염이 발생할 경우, 공격자는 감염된 장치에 대한 원격 접근 권한을 확보하고 조직의 민감 데이터를 외부로 유출할 수 있다.
카스퍼스키는 2025년 12월 이후 관찰된 실버폭스 공격을 여러 차례 분석했다. 인도, 인도네시아, 남아프리카공화국, 러시아의 산업, 컨설팅, 무역, 운송 분야 기업을 대상으로 수행됐다.
피싱 이메일은 공식 세무 감사 통지로 위장하거나 ‘세금 위반 목록’이 포함된 압축 파일을 다운로드하도록 유도하는 방식으로 제작됐다. 공격자는 세무 당국의 권위와 긴급성을 악용해 피해자가 파일을 다운로드하고 공격 체인이 실행되도록 유도했다. 1월부터 2월 사이에만 1600건 이상의 악성 이메일이 탐지됐다.
위협 행위자는 기존 공격에 사용된 밸리래트(ValleyRAT) 백도어를 통해 새로운 파이썬 기반 백도어 ‘ABC도어’(ABCDoor)를 배포하며 도구 세트를 확장했다. ABC도어는 2024년 말부터 APT 공격 도구군에 포함되어 2025년 전반에 걸쳐 사용됐다. 파일 업로드 및 다운로드 기능을 제공하며, 다수의 피해자 화면을 거의 실시간으로 스트리밍하고 클립보드에 접근하는 등 감염 시스템을 원격으로 제어할 수 있고, 자체 업데이트 기능도 포함한다. 또한 이전에 공개되지 않았던 수정된 러스트SL(RustSL) 변종이 밸리래트 전달에 사용됐으며, 이는 2025년 12월 말 처음 도입됐다.
과거에 실버폭스는 아시아 지역의 통신, 에너지, 물류, 금융 산업을 대상으로 공격을 수행한 바 있다.
실버폭스와 같은 공격에 대응하기 위해 임직원의 디지털 리터러시 수준을 지속적으로 향상시켜야 한다. 이에 카스퍼스키는 자사 교육 프로그램 ‘카스퍼스키 오토메이티드 시큐리티 어웨어니스 플랫폼’(Kaspersky Automated Security Awareness Platform)을 제안했다.
또 의심스러운 이메일을 자동 차단하고, 비밀번호로 보호된 압축 파일을 검사하며, CDR(Content Disarm & Reconstruction) 기술을 적용할 수 있는 솔루션인 ‘카스퍼스키 시큐리티 포 메일 서버’(Kaspersky Security for Mail Server) 등의 도입을 권했다.
이와 함께 위협 인텔리전스 서비스를 도입하고, 실시간 보호, 위협 가시성, 조사 및 고급 대응 기능을 제공하는 ‘카스퍼스키 넥스트’ 제품군을 활용해야 한다는 설명이다
안톤 카르긴 카스퍼스키 글로벌 연구 분석팀(GReAT)의 선임 보안 연구원은 “공격자는 세무 당국과 같은 공식 기관의 커뮤니케이션에 대한 사용자 신뢰를 악용하는 동시에 주요 악성 페이로드 전달을 위해 다단계 전달 방식과 다수의 이메일 주소 및 도메인을 활용했다”며 “이는 공격 체인 전반에서 탐지 및 차단 가능성을 낮추며 전체적인 위협 수준을 높인다”라고 말했다.
이효은 카스퍼스키코리아 지사장은 “한국은 세계에서 가장 디지털화된 경제 중 하나로, 기업들이 전자정부 및 세무 시스템에 깊이 의존하고 있어 세무 당국을 사칭한 피싱 공격이 특히 효과적으로 작동할 수 있는 환경”이라며 “한국 기업들은 단순한 경계 보안에만 의존해서는 안되며, 임직원 보안 인식 교육과 엔드포인트 탐지 및 대응(EDR) 역량을 동시에 강화해야 이러한 고도화된 사회공학과 기술적 공격 결합에 효과적으로 대응할 수 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] ‘세금 위반 통지’라는 문서로 위장한 지능형 지속 공격(APT)이 포착돼 주의를 요한다.
카스퍼스키(한국지사장 이효은)는 자사 글로벌 연구 분석팀(GReAT)이 세금 위반 관련 통지 문서로 위장해 악성 파일을 배포하는 APT 공격인 ‘실버폭스’(SilverFox)를 탐지했다고 23일 밝혔다.
▲인도 내 피해자에게 유포된 피싱 이메일 [출처: 카스퍼스키]
이 공격으로 인해 감염이 발생할 경우, 공격자는 감염된 장치에 대한 원격 접근 권한을 확보하고 조직의 민감 데이터를 외부로 유출할 수 있다.
카스퍼스키는 2025년 12월 이후 관찰된 실버폭스 공격을 여러 차례 분석했다. 인도, 인도네시아, 남아프리카공화국, 러시아의 산업, 컨설팅, 무역, 운송 분야 기업을 대상으로 수행됐다.
피싱 이메일은 공식 세무 감사 통지로 위장하거나 ‘세금 위반 목록’이 포함된 압축 파일을 다운로드하도록 유도하는 방식으로 제작됐다. 공격자는 세무 당국의 권위와 긴급성을 악용해 피해자가 파일을 다운로드하고 공격 체인이 실행되도록 유도했다. 1월부터 2월 사이에만 1600건 이상의 악성 이메일이 탐지됐다.
위협 행위자는 기존 공격에 사용된 밸리래트(ValleyRAT) 백도어를 통해 새로운 파이썬 기반 백도어 ‘ABC도어’(ABCDoor)를 배포하며 도구 세트를 확장했다. ABC도어는 2024년 말부터 APT 공격 도구군에 포함되어 2025년 전반에 걸쳐 사용됐다. 파일 업로드 및 다운로드 기능을 제공하며, 다수의 피해자 화면을 거의 실시간으로 스트리밍하고 클립보드에 접근하는 등 감염 시스템을 원격으로 제어할 수 있고, 자체 업데이트 기능도 포함한다. 또한 이전에 공개되지 않았던 수정된 러스트SL(RustSL) 변종이 밸리래트 전달에 사용됐으며, 이는 2025년 12월 말 처음 도입됐다.
과거에 실버폭스는 아시아 지역의 통신, 에너지, 물류, 금융 산업을 대상으로 공격을 수행한 바 있다.
실버폭스와 같은 공격에 대응하기 위해 임직원의 디지털 리터러시 수준을 지속적으로 향상시켜야 한다. 이에 카스퍼스키는 자사 교육 프로그램 ‘카스퍼스키 오토메이티드 시큐리티 어웨어니스 플랫폼’(Kaspersky Automated Security Awareness Platform)을 제안했다.
또 의심스러운 이메일을 자동 차단하고, 비밀번호로 보호된 압축 파일을 검사하며, CDR(Content Disarm & Reconstruction) 기술을 적용할 수 있는 솔루션인 ‘카스퍼스키 시큐리티 포 메일 서버’(Kaspersky Security for Mail Server) 등의 도입을 권했다.
이와 함께 위협 인텔리전스 서비스를 도입하고, 실시간 보호, 위협 가시성, 조사 및 고급 대응 기능을 제공하는 ‘카스퍼스키 넥스트’ 제품군을 활용해야 한다는 설명이다
안톤 카르긴 카스퍼스키 글로벌 연구 분석팀(GReAT)의 선임 보안 연구원은 “공격자는 세무 당국과 같은 공식 기관의 커뮤니케이션에 대한 사용자 신뢰를 악용하는 동시에 주요 악성 페이로드 전달을 위해 다단계 전달 방식과 다수의 이메일 주소 및 도메인을 활용했다”며 “이는 공격 체인 전반에서 탐지 및 차단 가능성을 낮추며 전체적인 위협 수준을 높인다”라고 말했다.
이효은 카스퍼스키코리아 지사장은 “한국은 세계에서 가장 디지털화된 경제 중 하나로, 기업들이 전자정부 및 세무 시스템에 깊이 의존하고 있어 세무 당국을 사칭한 피싱 공격이 특히 효과적으로 작동할 수 있는 환경”이라며 “한국 기업들은 단순한 경계 보안에만 의존해서는 안되며, 임직원 보안 인식 교육과 엔드포인트 탐지 및 대응(EDR) 역량을 동시에 강화해야 이러한 고도화된 사회공학과 기술적 공격 결합에 효과적으로 대응할 수 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
