센티넬원 Watch Tower 보고서 발표...랩서스 등 유명 사이버 범죄 그룹의 탄생지
[보안뉴스 원병철 기자] 2023년 가장 주목받은 사이버 위협 커뮤니티로 ‘The Com’이 꼽혔다. 글로벌 보안기업 센티넬원(SentinelOne)의 위협 추적 인텔리전스 부서인 Vigilance DFIR 팀은 ‘WatchTower’ 보고서를 통해 The Com을 소개하고 그간의 행적과 위협행위들을 분석했다.
▲센티넬원의 The Com 분석[자료=센티넬원]
2022년부터 2023년까지 센티넬원의 Vigilance DFIR 팀은 ‘The Com’이라 이름 붙인 온라인 커뮤니티에서 여러 위협 행위자를 관찰했다. Vigilance DFIR 조사관은 UNIT 221B의 Allison Nixon과 긴밀히 협력하며 위협 행위자 그룹의 내부 활동을 조사했다고 밝혔다. The Com은 최근 점점 더 과격해지는 활동으로 인해 여러 조사를 받고 있었다. 수백명의 게이머, 해커, IT 전문가 등 다양한 회원으로 구성된 이 그룹은 텔레그램(Telegram) 채팅 서버 내에서 운영된다.
The Com의 기원은 특정 장르나 관심 분야에 국한되지 않는다. 대신, 게임과 밈 공유부터 사이버 범죄, 물리적 폭력과 같은 보다 악한 활동에 이르기까지 다양한 하위 그룹과 활동을 위한 느슨한 우산 역할을 한다. The Com은 커뮤니티, 범죄조직, 그리고 순진한 개인을 조직에 끌어들이는 하위 문화 사이의 경계를 모호하게 만든다. 겉으로 보기에는 큰 문제가 없어보이지만, 많은 사람들이 심스와핑(SIM Swapping), 신상털기, 소셜 미디어 계정 탈취 등을 포함한 낮은 수준의 범죄에서부터 최근 가장 많이 주목받는 네트워크 침입 및 랜섬웨어 등 심각한 범죄를 저지르고 있었다.
▲The Com의 특징[자료=센티넬원]
실제로 The Com은 LAP‑SUS$, Star Fraud(Octo Tempest, UNC3944, Muddled Libra, Scattered Spider) 등 오늘날 우리가 알고 있는 많은 사이버 범죄 그룹의 탄생지이기도 하다.
The Com은 액세스 권한 획득과 같은 전술에 초점을 맞춰 사이버 범죄에 깊이 관여하고 있다. 예를 들어 심스와핑을 위해 BPOs(Business Processing Organizations)에 액세스하는 것과 같은 전술에 초점을 맞춰 사이버 범죄에 깊이 관여하고 있다. 심스와핑은 새로운 스마트폰에 피해자의 복제한 심카드를 삽입해 피해자의 새 스마트폰을 만드는 범죄다. 심스와핑에 성공하면, The Com 내의 위협 행위자가 피해자(복제한 심카드의 주인)의 암호화폐 계정에 무단으로 액세스하거나, 기업 네트워크 액세스를 위해 MFA 솔루션을 우회할 수 있다. 최근 The Com은 사회공학적 공격을 통해 심스와핑 기술을 발전시켜 피해자 네트워크 내에 악성코드와 랜섬웨어를 배포시킨 후, 금융 범죄로 이어지는 접근방식을 채택했다.
The Com의 사이버 범죄 참여는 개인뿐만 아니라 더 넓은 온라인 보안 환경에 심각한 위협이 된다. 이들은 금전적인 목적을 넘어 전국적으로 학교와 대학을 대상으로 하는 스와팅 전화(Swatting Calls) 확산에도 영향을 미쳤다. 스와팅 전화란 주로 미국에서 발생하는 장난전화 범죄로, 911 전화를 통해 폭탄테러, 인질상황, 살인 등 주요 사건을 허위로 신고해 경찰특공대인 ‘스와트팀(SWAT Team)’을 출동시키게 한다. 문제는 이러한 출동에서 스와트팀이 무고한 사람들을 사살하는 결과가 발생했다는 사실이다.
▲Star Fraud가 실제 사용하는 도구들[자료=센티넬원]
FBI가 The Com을 상호 연결된 사이버 범죄 행위자 그룹으로 인식한 것은 바로 이들의 사이버 범죄 활동이 점차 심각해졌기 때문이다. 실제로 2022년에 Star Fraud로 알려진 The Com 내의 주목할만한 범죄그룹이 ‘ALPHV/BlackCat 랜섬웨어 그룹’의 하부조직이 되면서 큰 문제가 된 적이 있다.
도구와 TTPs(전략 : Tactics, 기술 : Techniques, 과정 : Procedures)만으로 이 그룹을 추적하는 것은 어려울 수 있다. 센티넬원은 The Com이 일반 대중이 쉽게 사용할 수 있는 무료 오픈소스 도구를 사용하는 것을 관찰했다고 분석하면서. Star Fraud가 실제 사용하는 도구를 공개했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 2023년 가장 주목받은 사이버 위협 커뮤니티로 ‘The Com’이 꼽혔다. 글로벌 보안기업 센티넬원(SentinelOne)의 위협 추적 인텔리전스 부서인 Vigilance DFIR 팀은 ‘WatchTower’ 보고서를 통해 The Com을 소개하고 그간의 행적과 위협행위들을 분석했다.
▲센티넬원의 The Com 분석[자료=센티넬원]
2022년부터 2023년까지 센티넬원의 Vigilance DFIR 팀은 ‘The Com’이라 이름 붙인 온라인 커뮤니티에서 여러 위협 행위자를 관찰했다. Vigilance DFIR 조사관은 UNIT 221B의 Allison Nixon과 긴밀히 협력하며 위협 행위자 그룹의 내부 활동을 조사했다고 밝혔다. The Com은 최근 점점 더 과격해지는 활동으로 인해 여러 조사를 받고 있었다. 수백명의 게이머, 해커, IT 전문가 등 다양한 회원으로 구성된 이 그룹은 텔레그램(Telegram) 채팅 서버 내에서 운영된다.
The Com의 기원은 특정 장르나 관심 분야에 국한되지 않는다. 대신, 게임과 밈 공유부터 사이버 범죄, 물리적 폭력과 같은 보다 악한 활동에 이르기까지 다양한 하위 그룹과 활동을 위한 느슨한 우산 역할을 한다. The Com은 커뮤니티, 범죄조직, 그리고 순진한 개인을 조직에 끌어들이는 하위 문화 사이의 경계를 모호하게 만든다. 겉으로 보기에는 큰 문제가 없어보이지만, 많은 사람들이 심스와핑(SIM Swapping), 신상털기, 소셜 미디어 계정 탈취 등을 포함한 낮은 수준의 범죄에서부터 최근 가장 많이 주목받는 네트워크 침입 및 랜섬웨어 등 심각한 범죄를 저지르고 있었다.
▲The Com의 특징[자료=센티넬원]
실제로 The Com은 LAP‑SUS$, Star Fraud(Octo Tempest, UNC3944, Muddled Libra, Scattered Spider) 등 오늘날 우리가 알고 있는 많은 사이버 범죄 그룹의 탄생지이기도 하다.
The Com은 액세스 권한 획득과 같은 전술에 초점을 맞춰 사이버 범죄에 깊이 관여하고 있다. 예를 들어 심스와핑을 위해 BPOs(Business Processing Organizations)에 액세스하는 것과 같은 전술에 초점을 맞춰 사이버 범죄에 깊이 관여하고 있다. 심스와핑은 새로운 스마트폰에 피해자의 복제한 심카드를 삽입해 피해자의 새 스마트폰을 만드는 범죄다. 심스와핑에 성공하면, The Com 내의 위협 행위자가 피해자(복제한 심카드의 주인)의 암호화폐 계정에 무단으로 액세스하거나, 기업 네트워크 액세스를 위해 MFA 솔루션을 우회할 수 있다. 최근 The Com은 사회공학적 공격을 통해 심스와핑 기술을 발전시켜 피해자 네트워크 내에 악성코드와 랜섬웨어를 배포시킨 후, 금융 범죄로 이어지는 접근방식을 채택했다.
The Com의 사이버 범죄 참여는 개인뿐만 아니라 더 넓은 온라인 보안 환경에 심각한 위협이 된다. 이들은 금전적인 목적을 넘어 전국적으로 학교와 대학을 대상으로 하는 스와팅 전화(Swatting Calls) 확산에도 영향을 미쳤다. 스와팅 전화란 주로 미국에서 발생하는 장난전화 범죄로, 911 전화를 통해 폭탄테러, 인질상황, 살인 등 주요 사건을 허위로 신고해 경찰특공대인 ‘스와트팀(SWAT Team)’을 출동시키게 한다. 문제는 이러한 출동에서 스와트팀이 무고한 사람들을 사살하는 결과가 발생했다는 사실이다.
▲Star Fraud가 실제 사용하는 도구들[자료=센티넬원]
FBI가 The Com을 상호 연결된 사이버 범죄 행위자 그룹으로 인식한 것은 바로 이들의 사이버 범죄 활동이 점차 심각해졌기 때문이다. 실제로 2022년에 Star Fraud로 알려진 The Com 내의 주목할만한 범죄그룹이 ‘ALPHV/BlackCat 랜섬웨어 그룹’의 하부조직이 되면서 큰 문제가 된 적이 있다.
도구와 TTPs(전략 : Tactics, 기술 : Techniques, 과정 : Procedures)만으로 이 그룹을 추적하는 것은 어려울 수 있다. 센티넬원은 The Com이 일반 대중이 쉽게 사용할 수 있는 무료 오픈소스 도구를 사용하는 것을 관찰했다고 분석하면서. Star Fraud가 실제 사용하는 도구를 공개했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
