스피어 피싱으로 신뢰 쌓은 뒤 악성 페이로드 유포
인도적 지원 단체 및 전략 연구 조직 집중 타깃

[보안뉴스 김형근 기자] 러시아 정부의 지원을 받는 것으로 추정되는 ‘칼리스토’(Callisto) 해킹 조직이 서방 기관을 대상으로 고도화된 사이버 첩보 작전을 지속하고 있다.


[자료: 생성형 AI 이미지]

러시아 연방보안국(FSB)의 정보보안센터(Center 18)와 연관된 것으로 알려진 칼리스토는 NATO 연구 기관 및 전략 조직을 주요 목표로 삼고 있으며, 최근 공격 범위를 우크라이나 지원 국가 및 동유럽 국가의 NGO와 싱크탱크까지 확대했다.

‘클릭픽스’와 다단계 피싱 전술 활용
이번 악성코드 캠페인은 ‘클릭픽스’(ClickFix) 사회공학적 전술을 활용했다. 이는 사용자가 보안을 저해하는 행동을 취하도록 조작하는 기법이다.

공격자들은 첨부 파일이 누락되거나 손상된 스피어 피싱 이메일을 보내 피해자가 재전송을 요청하도록 유도하는 방식으로 신뢰 관계를 구축했다. 대응이 시작되면 공격자는 손상된 웹사이트에 호스팅된 리다이렉션 링크를 통해 악성 페이로드를 전달하는 다단계 접근 방식을 사용했다.

프로톤메일 계정 탈취 집중적으로 노려
보안업체 세코이아(Sekoia) 분석가들은 칼리스토가 계정 탈취 포털을 통해 ‘프로톤메일’(ProtonMail) 계정을 집중적으로 노렸다고 밝혔다.

공격자들은 중간자 공격(MiTM) 기법을 사용해 사용자 인터페이스에 악성 자바스크립트 코드를 주입했다. 이 코드는 비밀번호 입력 필드에 강제로 커서를 고정시키고, 사용자가 자격증명을 입력하면 이를 공격자 통제 API로 실시간 전송했다. 이 과정에서 정상적으로 보이는 캡챠(CAPTCHA) 및 2단계 인증 프롬프트를 띄워 사용자를 기만했다.

고도화된 기술 인프라와 공격 체인의 지속성
칼리스토의 기술 인프라는 고도화된 공격 체인을 보여준다. 피싱 리다이렉터는 손상된 서버에 배포된 PHP 스크립트를 활용했으며, 공격자들은 ‘빅 마마 프록시’(Big Mama Proxy service)와 연관된 IP 주소를 통해 접근 로그를 숨겼다. 또한, 이들은 초기 ‘레그웨이’(Regway)에서 ‘네임칩’(Namecheap)으로 도메인 등록 기관을 옮기며 추적을 회피하려 했다.

칼리스토는 광범위한 공개에도 불구하고 우크라이나 지지자를 대상으로 하는 피싱 작전을 계속 확대하고 있다. 인도적 지원, 언론 자유 옹호, 전략 연구 분야 조직들이 러시아 정보 수집 우선순위에 따라 주요 표적이 되고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>