다중 라이센스 할인 견적
위협 데이터베이스 피싱 스미싱 삼합회 위협 행위자

스미싱 삼합회 위협 행위자

피싱, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

2024년 1월 1일부터 전 세계 다양한 서비스를 표적으로 삼아 19만 4천 개가 넘는 악성 도메인과 관련된 대규모 스미싱 공격이 발생했습니다. 이 공격은 사기성 SMS 메시지를 활용하여 사용자를 속여 민감한 정보를 유출하도록 유도하는데, 이는 종종 요금 위반이나 오배송으로 위장합니다.

도메인이 홍콩에 있는 등록기관을 통해 등록되고 중국 네임서버를 사용함에도 불구하고, 공격 인프라는 주로 미국에 호스팅된 클라우드 서비스에서 운영되며, 이는 전 세계적으로 분산된 설정을 반영합니다.

스미싱 3인조: 중국과 연계된 위협 행위자

이 캠페인은 중국과 연계된 스미싱 트라이어드(Smishing Triad)라는 조직에 의해 자행된 것으로 추정되는데, 이 조직은 모바일 기기에 사기성 알림을 대량으로 유포하는 것으로 악명 높습니다. 지난 3년간 이러한 캠페인은 높은 수익성을 보이며, 위협 행위자들에게 10억 달러 이상의 수익을 안겨주었습니다.

최근 조사 결과는 그들의 전술에 상당한 변화가 있음을 보여줍니다. 피싱 키트는 은행 자격 증명과 인증 코드를 훔치기 위해 증권 계좌를 노리는 경우가 점점 더 증가하고 있습니다. 이러한 계좌에 대한 공격은 2024년 동기 대비 2025년 2분기에 5배 증가했습니다. 일단 침해되면 공격자는 '램프 앤 덤프' 전략을 사용하여 주가를 조작하고, 최소한의 문서 흔적만 남깁니다.

피싱 서비스: 잘 정비된 범죄 생태계

스미싱 트라이어드는 단순한 피싱 키트 제공업체에서 여러 전문 참여자로 구성된 매우 활동적인 피싱 서비스(PhaaS) 커뮤니티로 변모했습니다.

  • 피싱 키트 개발자 - 도구를 만듭니다.
  • 데이터 브로커 - 타겟 전화번호를 제공합니다.
  • 도메인 판매자 – 피싱 사이트 호스팅을 위해 일회용 도메인을 등록합니다.
  • 호스팅 제공업체 - 서버 유지 관리.
  • 스패머 - 대규모로 사기성 메시지를 배포합니다.
  • 활성 전화번호 스캐너 - 활성 전화번호를 확인하세요.
  • 차단 목록 스캐너 - 순환을 위해 차단 목록에 있는 도메인을 확인합니다.

이러한 생태계는 빠른 배포와 지속적인 적응을 가능하게 하여 감지와 중단을 어렵게 만듭니다.

도메인 등록 및 이탈 전략

분석 결과, 136,933개의 루트 도메인 중 약 93,200개(68.06%)가 Dominet (HK) Limited에 등록되어 있는 것으로 나타났습니다. 이 중 대부분은 .com 접두사를 사용하지만, 최근 몇 달 동안 .gov 도메인 등록이 증가했습니다.

이 캠페인은 빠른 도메인 회전율에 크게 의존합니다.

  • 도메인의 29.19%가 2일 이하 동안 활성화되었습니다.
  • 71.3%는 1주일 미만 동안 활동했습니다.
  • 82.6%는 2주 이하 동안 활동했습니다.
  • 3개월 이상 생존한 사람은 6% 미만이었습니다.

이러한 변동은 194,345개의 FQDN이 43,494개의 고유 IP(대부분 Cloudflare의 미국)로 확인되는 것과 결합되어 위협 행위자가 지속적으로 감지를 피할 수 있게 합니다.

인프라 통찰력 및 글로벌 도달 범위

캠페인 인프라 분석의 주요 결과는 다음과 같습니다.

  • 가장 많이 사칭된 서비스는 미국 우편 서비스로, 28,045개의 FQDN을 보유하고 있습니다.
  • 약 90,000개의 피싱 FQDN이 있는 유료 서비스 미끼가 가장 많습니다.
  • 가장 많은 트래픽을 생성하는 도메인은 주로 미국에 호스팅되고, 그 다음으로 중국과 싱가포르가 뒤따릅니다.

피해자들은 러시아, 폴란드, 리투아니아 등의 국가에서 은행, 암호화폐 거래소, 배달 서비스, 경찰, 국영 기업, 통행료 서비스, 카풀 앱, 호텔 서비스, 소셜 미디어, 전자 상거래 플랫폼 등 다양한 부문을 표적으로 삼습니다.

정부 사칭 캠페인은 종종 사용자를 미납 통행료나 서비스 요금을 요구하는 랜딩 페이지로 리디렉션하며, 때로는 ClickFix 미끼를 이용해 사용자를 속여 CAPTCHA 확인으로 위장한 악성 코드를 실행하게 만들기도 합니다.

전 세계에 영향을 미치는 분산형 위협

스미싱 트라이어드 캠페인은 전 세계적인 영향력과 분산화를 보여줍니다. 공격자들은 매일 수천 개의 도메인을 등록하고 순환하며, 다양한 서비스를 모방하여 영향력을 극대화합니다. 미국 유료 서비스를 표적으로 삼는 스미싱 캠페인은 끊임없이 진화하는 거대하고 적응력이 뛰어나며 수익성이 높은 범죄 조직의 한 단면을 보여줍니다.

트렌드

Pixnapping 안드로이드 결함

취약성
사이버 보안 연구원들이 구글과 삼성의 안드로이드 기기에 영향을 미치는 '픽스내핑(Pixnapping)'이라는 심각한 취약점을 발견했습니다. 이 부채널 공격은 악성 앱이 사용자 모르게 화면 픽셀을 캡처하여 이중 인증(2FA) 코드와 구글 지도 타임라인을 포함한 민감한 데이터를 은밀하게 훔칠 수 있도록 합니다. 이 공격은 픽셀 단위로 진행되므로 매우 정확하고 은밀하게 이루어집니다. Pixnapping의 작동 방식: 핵심은 픽셀 도용 Pixnapping은 기본적으로 표준 브라우저 완화 조치를 우회하고 Google Authenticator와 같은 비브라우저 앱을 타겟팅하도록 설계된 픽셀 도용 프레임워크입니다. Android API와 하드웨어 사이드 채널을 활용하여 민감한 정보를 빠르게 수집하고,...

내 날씨 탭 브라우저 확장

잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
연구원들은 '내 날씨 탭'이라는 브라우저 확장 프로그램을 확인했습니다. 종합적인 조사를 통해 이 확장 프로그램은 브라우저 하이재킹 소프트웨어의 한 형태로 작동하는 것으로 확인되었습니다. 주요 목적은 사용자의 웹 브라우저 설정을 수정하여 리디렉션을 통해 'myweathertab.xyz'라는 가짜 검색 엔진을 홍보하는 것입니다. 의심스러운 브라우저 확장...

Plasma (XPL) Allocation Scam

불량 웹사이트
인터넷은 무한한 기회를 제공하지만, 동시에 수많은 위험도 안고 있습니다. 사이버 범죄자들은 사용자를 속여 돈이나 민감한 정보를 빼내려는 새로운 수법을 끊임없이 고안합니다. 가장 위험한 위협 중 하나는 암호화폐 분야를 노리는 사기입니다. 경계는 필수적입니다. 사기성 웹사이트 방문이나 악성 플랫폼에 지갑을 연결하는 것과 같은 단 한 번의 실수도 돌이킬 수...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
52,610
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
40,330
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
38,425
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...